(1)

W rozporządzeniu (UE) 2016/679 określono zasady dotyczące przekazywania danych osobowych przez administratorów lub podmioty przetwarzające w Unii do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V (art. 44–50) tego rozporządzenia. Chociaż przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem rozwoju handlu transgranicznego i współpracy międzynarodowej, przekazywanie danych osobowych do państw trzecich nie może obniżać stopnia ochrony zapewnianego tym danym w Unii (2).

(2)

Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazywanie danych osobowych do państwa trzeciego może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia (UE) 2016/679.

(3)

Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego, obejmującej zarówno jego przepisy dotyczące podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony „zasadniczo odpowiadający” stopniowi ochrony zapewnianemu w Unii Europejskiej (motyw 104 rozporządzenia (UE) 2016/679). To, czy tak jest w istocie, należy oceniać w świetle przepisów Unii, w szczególności rozporządzenia (UE) 2016/679, a także orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (3).

(4)

Jak wyjaśnił w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej, nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony (4). W szczególności środki, z których korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków stosowanych w Unii, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony (5). Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, dany zagraniczny system zapewnia jako całość wymagany stopień ochrony (6). Wytyczne w tym zakresie zawiera również dokument Europejskiej Rady Ochrony Danych „Odpowiedni stopień ochrony przekazywanych danych osobowych”, który ma na celu dalsze wyjaśnienie tego standardu (7).

(5)

Komisja uważnie przeanalizowała koreańskie prawo i praktyki. Na podstawie ustaleń przedstawionych w motywach (8) – (208) Komisja stwierdza, że Republika Korei zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych przez administratora lub podmiot przetwarzający w Unii (8) podmiotom (np. osobom fizycznym lub prawnym, organizacjom, instytucjom publicznym) w Korei objętym zakresem stosowania ustawy o ochronie danych osobowych (ustawa nr. 10465 z dnia 29 marca 2011 r., ostatnio zmieniona ustawą nr. 16930 z dnia 4 lutego 2020 r.). Obejmuje to zarówno administratorów, jak i podmioty przetwarzające (zwane „dostawcami usług outsourcingowych (9)) w rozumieniu rozporządzenia (UE) 2016/679. Stwierdzenie odpowiedniego stopnia ochrony nie obejmuje przetwarzania danych osobowych na potrzeby działalności misyjnej prowadzonej przez organizacje religijne oraz na potrzeby zgłaszania kandydatów przez partie polityczne ani przetwarzania informacji dotyczących kredytów osobistych na podstawie ustawy o informacjach kredytowych przez administratorów podlegających nadzorowi Komisji Usług Finansowych.

(6)

W niniejszej decyzji uwzględniono dodatkowe zabezpieczenia określone w zawiadomieniu nr 2021-5 (załącznik I) oraz oficjalne oświadczenia, zapewnienia i zobowiązania rządu Korei wobec Komisji (załącznik II).

(7)

Niniejsza decyzja skutkuje tym, że przekazywanie danych osobowych administratorom i podmiotom przetwarzającym w Republice Korei może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia. Nie ma ona wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do takich podmiotów, jeżeli spełnione są warunki dotyczące terytorialnego zakresu stosowania tego rozporządzenia, określone w jego art. 3.

(8)

System prawny regulujący kwestie prywatności i ochrony danych w Korei ma swoje źródło w konstytucji koreańskiej, ogłoszonej w dniu 17 lipca 1948 r. Chociaż prawo do ochrony danych osobowych nie jest wyraźnie określone w konstytucji, jest ono uznawane za prawo podstawowe, wywodzące się z konstytucyjnych praw do godności ludzkiej i dążenia do szczęścia (art. 10), życia prywatnego (art. 17) i poufności komunikacji (art. 18). Zostało to potwierdzone zarówno przez Sąd Najwyższy (10), jak i Trybunał Konstytucyjny (11). Ograniczenie podstawowych praw i wolności (w tym prawa do prywatności) można nałożyć wyłącznie przepisami prawa, gdy jest to konieczne ze względów bezpieczeństwa narodowego lub utrzymania porządku publicznego leżącego w interesie publicznym, i nie może ono naruszać istoty takiego prawa lub takiej wolności (art. 37 ust. 2).

(9)

Mimo że konstytucja w różnych miejscach odnosi się do praw koreańskich obywateli, Trybunał Konstytucyjny orzekł, że prawa podstawowe przysługują również cudzoziemcom (12). W szczególności Trybunał stwierdził, że ochrona godności i wartości osoby jako istoty ludzkiej, jak również prawo do dążenia do szczęścia są prawami każdej istoty ludzkiej, a nie tylko obywateli (13). Ponadto, zgodnie z oficjalnymi oświadczeniami rządu Korei (14), powszechnie uznaje się, że art. 12–22 konstytucji (które obejmują prawo do prywatności) zapewniają podstawowe prawa człowieka (15). Chociaż jak dotąd nie zapadło orzeczenie dotyczące konkretnie prawa do prywatności w odniesieniu do cudzoziemców, zakorzenienie tego prawa w ochronie godności ludzkiej i dążeniu do szczęścia potwierdza ten wniosek (16).

(10)

Ponadto Korea uchwaliła szereg ustaw w dziedzinie ochrony danych, które zapewniają gwarancje wszystkim osobom fizycznym, niezależnie od ich narodowości (17). Do celów niniejszej decyzji właściwymi ustawami są:

(11)

PIPA zapewnia ogólne ramy prawne ochrony danych w Republice Korei. Uzupełnia ją dekret wykonawczy (dekret prezydenta nr 23169 z dnia 29 września 2011 r., ostatnio zmieniony dekretem prezydenta nr 30892 z dnia 4 sierpnia 2020 r.) (dekret wykonawczy do PIPA), który podobnie jak PIPA jest prawnie wiążący i możliwy do wyegzekwowania na drodze prawnej.

(12)

Ponadto regulacyjne „zawiadomienia” przyjęte przez Komisję Ochrony Danych Osobowych (PIPC) zawierają dalsze przepisy dotyczące wykładni i stosowania PIPA. Na podstawie art. 5 (Obowiązki państwa) i art. 14 (Współpraca międzynarodowa) PIPA PIPC przyjęła zawiadomienie nr 2021-5 z dnia 1 września 2020 r. (zmienione zawiadomieniem nr 2021-1 z dnia 21 stycznia 2021 r. i zawiadomieniem nr 2021-5 z dnia 16 listopada 2021 r., zwane zawiadomieniem nr 2021-5) w sprawie wykładni, stosowania i egzekwowania niektórych przepisów PIPA. Zawiadomienie to zawiera wyjaśnienia, które mają zastosowanie do każdego przypadku przetwarzania danych osobowych zgodnie z PIPA, jak również dodatkowe zabezpieczenia danych osobowych przekazywanych do Korei na podstawie niniejszej decyzji. Zawiadomienie jest prawnie wiążące dla administratorów danych osobowych i może być egzekwowane zarówno przez PIPC, jak i sądy (19). Naruszenie przepisów określonych w zawiadomieniu pociąga za sobą naruszenie odpowiednich przepisów PIPA, których są one uzupełnieniem. Treść dodatkowych zabezpieczeń przeanalizowano zatem w ramach oceny odpowiednich artykułów PIPA. Ponadto dalsze wskazówki dotyczące PIPA i dekretu wykonawczego do tej ustawy, które zawierają informacje o stosowaniu i egzekwowaniu przepisów o ochronie danych przez PIPC, znajdują się w podręczniku i wytycznych dotyczących PIPA przyjętych przez PIPC (20).

(13)

Ponadto w ustawie o wykorzystywaniu i ochronie informacji kredytowych (CIA) określono przepisy szczegółowe, które mają zastosowanie zarówno do „zwykłych” podmiotów handlowych, jak i podmiotów wyspecjalizowanych w sektorze finansowym, gdy przetwarzają one osobowe informacje kredytowe, tj. informacje, które są niezbędne do określenia zdolności kredytowej stron transakcji finansowych lub handlowych. Dotyczy to w szczególności imienia i nazwiska/nazwy, danych kontaktowych, transakcji finansowych, ratingu kredytowego, statusu ubezpieczenia lub salda kredytowego, jeżeli informacje te są wykorzystywane do określenia zdolności kredytowej osoby fizycznej (21). Natomiast w przypadku gdy takie informacje są wykorzystywane do innych celów (takich jak cele kadrowe), PIPA ma zastosowanie w całości. Jeżeli chodzi o szczegółowe przepisy CIA dotyczące ochrony danych, przestrzeganie przepisów jest nadzorowane częściowo przez PIPC (w przypadku organizacji komercyjnych, zob. art. 45-3 CIA), a częściowo przez Komisję Usług Finansowych (22) (w odniesieniu do sektora finansowego, w tym agencji ratingowych, banków, zakładów ubezpieczeń, banków oszczędności wzajemnych, przedsiębiorstw finansowych wyspecjalizowanych w udzielaniu kredytów, przedsiębiorstw świadczących finansowe usługi inwestycyjne, przedsiębiorstw finansowych zajmujących się obrotem papierami wartościowymi, unii kredytowych itp., zob. art. 45 ust. 1 CIA w związku z art. 36-2 rozporządzenia wykonawczego do CIA oraz art. 38 ustawy o Komisji Usług Finansowych). W związku z tym zakres niniejszej decyzji jest ograniczony do podmiotów handlowych, które podlegają nadzorowi PIPC (23). Przepisy szczegółowe CIA, które mają zastosowanie w tym kontekście (w przypadku braku przepisów szczegółowych zastosowanie mają przepisy ogólne PIPA), opisano w pkt 2.3.11.

(14)

O ile przepisy innych ustaw nie stanowią wyraźnie inaczej, ochrona danych osobowych podlega przepisom PIPA (art. 6). Zakres przedmiotowy i podmiotowy jej stosowania został określony zdefiniowanymi w niej pojęciami „danych osobowych”, „przetwarzania” i „administratora danych osobowych”.

(15)

W art. 2 ust. 1 PIPA zdefiniowano dane osobowe jako informacje dotyczące pozostającej przy życiu osoby fizycznej, pozwalające zidentyfikować tę osobę bezpośrednio, na przykład na podstawie jej imienia i nazwiska, numeru rejestracyjnego mieszkańca lub wizerunku, albo pośrednio, tj. w przypadku, gdy informacje, które same w sobie nie pozwalają na zidentyfikowanie konkretnej osoby fizycznej, można łatwo połączyć z innymi informacjami. To, czy informacje można „łatwo” połączyć, zależy od tego, czy takie połączenie jest racjonalnie prawdopodobne, biorąc pod uwagę możliwość uzyskania innych informacji, jak również czas, koszty i technologię wymagane do zidentyfikowania osoby fizycznej.

(16)

Ponadto informacje spseudonimizowane – tj. informacje, za pomocą których nie można zidentyfikować konkretnej osoby fizycznej bez wykorzystania dodatkowych informacji lub połączenia ich z dodatkowymi informacjami w celu przywrócenia ich do stanu pierwotnego – są uznawane za dane osobowe w rozumieniu PIPA (art. 2 ust. 1 lit. c) PIPA). Z kolei informacje, które są całkowicie „zanonimizowane”, są wyłączone z zakresu stosowania PIPA (art. 58-2 PIPA). Dotyczy to informacji, za pomocą których nie można identyfikować konkretnej osoby fizycznej, nawet w połączeniu z innymi informacjami, biorąc pod uwagę czas, koszty i technologię rozsądnie wymagane na potrzeby identyfikacji.

(17)

Odpowiada to zakresowi przedmiotowemu stosowania rozporządzenia (UE) 2016/679 i używanym w nim pojęciom „danych osobowych”, „pseudonimizacji” (24) i „informacji zanonimizowanych” (25).

(18)

Pojęcie „przetwarzania” jest zdefiniowane w PIPA szeroko, jako obejmujące „zbieranie, generowanie, łączenie, utrwalanie, przechowywanie, zatrzymywanie, przetwarzanie o wartości dodanej, edytowanie, odzyskiwanie, uzyskiwanie, poprawianie, pobieranie, wykorzystywanie, przekazywanie, ujawnianie i niszczenie danych osobowych oraz tworzenie między nimi powiązań, a także inne podobne działania” (26). Chociaż niektóre przepisy PIPA odnoszą się jedynie do określonych rodzajów przetwarzania, takich jak „wykorzystywanie”, „przekazywanie” lub „zbieranie” (27), pojęcie „wykorzystywania” interpretuje się jako obejmujące każdy rodzaj przetwarzania inny niż „zbieranie” lub „przekazywanie” (stronie trzeciej). Ta wykładnia rozszerzająca „wykorzystania” gwarantuje tym samym brak luk w ochronie w odniesieniu do określonych czynności przetwarzania. Pojęcie przetwarzania odpowiada zatem temu samemu pojęciu w rozumieniu rozporządzenia (UE) 2016/679.

(19)

PIPA ma zastosowanie do „administratorów danych osobowych” (administratorów). Podobnie jak w przypadku rozporządzenia (UE) 2016/679 pojęcie to obejmuje każdą instytucję publiczną, osobę prawną, organizację lub osobę fizyczną, która przetwarza dane osobowe bezpośrednio lub pośrednio w celu prowadzenia zbiorów danych osobowych w ramach swojej działalności (28). W tym kontekście „zbiór danych osobowych” oznacza „zestaw lub zestawy danych osobowych uporządkowanych lub zorganizowanych w sposób systematyczny, oparte na określonej zasadzie celem zapewnienia łatwego dostępu do danych osobowych” (art. 2 ust. 4 PIPA) (29). W wymiarze wewnętrznym administrator jest zobowiązany do przeszkolenia osób zaangażowanych w przetwarzanie pod jego kierownictwem, takich jak członkowie kadry kierowniczej lub pracownicy spółki, oraz do sprawowania odpowiedniej kontroli i nadzoru (art. 28 ust. 1 PIPA).

(20)

Szczególne obowiązki mają zastosowanie, gdy administrator („podmiot zlecający usługi outsourcingowe”) zleca przetwarzanie danych osobowych stronie trzeciej w ramach outsourcingu („dostawca usług outsourcingowych”). W szczególności outsourcing musi być regulowany prawnie wiążącymi ustaleniami (zazwyczaj umową) (30), które określają zakres prac zleconych w ramach outsourcingu, cel przetwarzania, zabezpieczenia techniczne i zarządcze, które należy zastosować, nadzór administratora, odpowiedzialność (np. odszkodowanie za szkody spowodowane naruszeniem zobowiązań umownych), jak również ograniczenia w zakresie podwykonawstwa przetwarzania (31) (art. 26 ust. 1 i 2 PIPA w związku z art. 28 ust. 1 dekretu wykonawczego) (32).

(21)

Ponadto administrator zobowiązany jest opublikować i stale aktualizować szczegółowe informacje na temat prac zleconych w ramach outsourcingu i tożsamości dostawcy usług outsourcingowych lub – w zakresie, w jakim przetwarzanie będące przedmiotem outsourcingu dotyczy działań z zakresu marketingu bezpośredniego – bezpośrednio przekazać osobom fizycznym stosowne informacje (art. 26 ust. 2 i 3 PIPA w związku z art. 28 ust. 2–5 dekretu wykonawczego) (33).

(22)

Ponadto, zgodnie z art. 26 ust. 4 PIPA w związku z art. 28 ust. 6 dekretu wykonawczego, administrator ma obowiązek przeszkolić dostawcę usług outsourcingowych w zakresie niezbędnych środków bezpieczeństwa i nadzorować, w tym w drodze kontroli, czy podmiot ten wypełnia wszystkie obowiązki administratora wynikające z PIPA (34) oraz umowy outsourcingu. W przypadku wyrządzenia przez dostawcę usług outsourcingowych szkody na skutek naruszenia PIPA jego działanie lub zaniechanie zostanie przypisane administratorowi do celów przypisania odpowiedzialności, tak jak w przypadku pracownika (art. 26 ust. 6 PIPA).

(23)

Mimo iż w PIPA nie używa się różnych pojęć na określenie „administratorów” i „podmiotów przetwarzających”, przepisy dotyczące outsourcingu zapewniają obowiązki i zabezpieczenia zasadniczo odpowiadające obowiązkom i zabezpieczeniom regulującym stosunki między administratorami a podmiotami przetwarzającymi na mocy rozporządzenia (UE) 2016/679.

(24)

Chociaż PIPA ma zastosowanie do przetwarzania danych osobowych przez każdego administratora danych, niektóre przepisy zawierają szczegółowe przepisy (jako lex specialis) dotyczące przetwarzania danych osobowych „użytkowników” przez „dostawców usług informacyjnych i komunikacyjnych” (35). Pojęcie „użytkowników” obejmuje osoby fizyczne, które korzystają z usług informacyjnych i komunikacyjnych (art. 2 ust. 1 pkt 4 ustawy o wspieraniu wykorzystania sieci informacyjno-komunikacyjnej i ochronie danych, zwanej ustawą o sieci). Warunkiem jest, aby osoba fizyczna albo bezpośrednio korzystała z usług telekomunikacyjnych świadczonych przez koreańskiego operatora telekomunikacyjnego, albo korzystała z usług informacyjnych (36) świadczonych komercyjnie (tj. w celach zarobkowych) przez podmiot, który z kolei korzysta z usług operatora telekomunikacyjnego licencjonowanego/zarejestrowanego w Korei (37). W obu przypadkach podmiotem związanym szczegółowymi przepisami PIPA jest podmiot, który oferuje usługę online bezpośrednio osobie fizycznej (tj. użytkownikowi).

(25)

Natomiast ustalenie adekwatności dotyczy wyłącznie stopnia ochrony zapewnionej danym osobowym przekazanym przez administratora/podmiot przetwarzający w Unii podmiotowi w państwie trzecim (w tym przypadku: w Republice Korei). W tym ostatnim scenariuszu osoby fizyczne w Unii będą zazwyczaj miały bezpośredni związek jedynie z „podmiotem przekazującym dane” w Unii, a nie z koreańskim dostawcą usług informacyjnych i komunikacyjnych (38). Dlatego też przepisy szczegółowe PIPA dotyczące danych osobowych użytkowników usług informacyjnych i komunikacyjnych będą miały zastosowanie co najwyżej w ograniczonych sytuacjach wyłącznie do danych osobowych przekazywanych na podstawie niniejszej decyzji.

(26)

W art. 58 ust. 1 PIPA wyłączono stosowanie części przepisów PIPA (tj. art. 15–57) w odniesieniu do czterech kategorii przetwarzania danych (39). W szczególności nie mają zastosowania części PIPA dotyczące szczególnych podstaw przetwarzania, niektórych obowiązków w zakresie ochrony danych, szczegółowych zasad wykonywania praw indywidualnych, jak również zasad rozstrzygania sporów przez Komisję ds. Mediacji w Sporach Dotyczących Danych Osobowych (ang. Personal Information Dispute Mediation Committee). Inne przepisy podstawowe PIPA nadal mają zastosowanie, w szczególności przepisy ogólne dotyczące zasad ochrony danych (art. 3 PIPA) – w tym np. zasady zgodności z prawem, określania celu i ograniczenia celu, minimalizacji danych, prawidłowości i bezpieczeństwa danych – oraz praw indywidualnych (prawa dostępu, prawa do sprostowania, usunięcia i zawieszenia przetwarzania, zob. art. 4 PIPA). Ponadto w art. 58 ust. 4 PIPA nakłada się szczególne obowiązki w związku z takimi czynnościami przetwarzania, mianowicie w odniesieniu do minimalizacji danych, ograniczonego zatrzymywania danych, środków bezpieczeństwa i rozpatrywania skarg (40). W związku z tym osoby fizyczne mogą nadal wnieść skargę do PIPC, jeżeli te zasady i obowiązki nie będą przestrzegane, a PIPC jest uprawniona do podejmowania działań w celu ich wyegzekwowania.

(27)

Po pierwsze, wyłączenie częściowe obejmuje dane osobowe zbierane zgodnie z ustawą o danych statystycznych w celu ich przetwarzania przez instytucje publiczne. Zgodnie z wyjaśnieniami otrzymanymi od rządu Korei dane osobowe przetwarzane w tym kontekście zwykle dotyczą obywateli koreańskich i tylko wyjątkowo mogą obejmować informacje o cudzoziemcach, mianowicie w przypadku statystyk dotyczących wjazdu na terytorium kraju i wyjazdu z niego lub inwestycji zagranicznych. Jednak nawet w takich sytuacjach dane takie nie są zazwyczaj przekazywane przez administratorów/podmioty przetwarzające w Unii, lecz są raczej bezpośrednio zbierane przez organy publiczne w Korei (41). Ponadto, podobnie jak określono w motywie 162 rozporządzenia (UE) 2016/679, przetwarzanie danych na podstawie ustawy o danych statystycznych podlega szeregowi warunków i zabezpieczeń. W szczególności ustawa o danych statystycznych nakłada szczególne obowiązki, takie jak zapewnienie prawidłowości, spójności i bezstronności; gwarancja poufności danych osób fizycznych; ochrona informacji o respondentach ankiet statystycznych, w tym w celu zapobiegania wykorzystywaniu takich informacji do celów innych niż opracowywanie danych statystycznych, oraz objęcia pracowników wymogami zachowania poufności (42). Organy publiczne przetwarzające dane statystyczne muszą również przestrzegać m.in. zasad minimalizacji danych, ograniczenia celu i bezpieczeństwa (art. 3 i art. 58 ust. 4 PIPA) oraz umożliwiać osobom fizycznym korzystanie z przysługujących im praw (prawa dostępu, prawa do korekty, usuwania i zawieszenia, zob. art. 4 PIPA). Ponadto dane muszą być przetwarzane w formie zanonimizowanej lub spseudonimizowanej, jeżeli pozwala to na spełnienie celu przetwarzania (art. 3 ust. 7 PIPA).

(28)

Po drugie, art. 58 ust. 1 PIPA odnosi się do danych osobowych zbieranych lub żądanych do celów przeprowadzenia analizy informacji związanych z bezpieczeństwem narodowym. Zakres i skutki tego wyłączenia częściowego opisano bardziej szczegółowo w motywie (149).

(29)

Po trzecie, wyłączenie częściowe ma zastosowanie do tymczasowego przetwarzania danych osobowych, w przypadku gdy jest to pilnie potrzebne ze względów bezpieczeństwa publicznego i ochrony, w tym zdrowia publicznego. Kategoria ta jest interpretowana przez PIPC wąsko i zgodnie z otrzymanymi informacjami nigdy nie została zastosowana. Ma ona zastosowanie wyłącznie w nagłych przypadkach wymagających pilnych działań, np. w celu wykrycia czynników zakaźnych lub ratowania ofiar klęsk żywiołowych i udzielenia im pomocy (43). Nawet w takich sytuacjach wyłączenie częściowe obejmuje przetwarzanie danych osobowych jedynie przez ograniczony okres, w celu przeprowadzenia takich działań. Sytuacje, w których mogłoby to mieć zastosowanie do przekazywania danych objętych niniejszą decyzją, są jeszcze bardziej ograniczone, biorąc pod uwagę niskie prawdopodobieństwo, że dane osobowe przekazywane z Unii operatorom koreańskim byłyby danymi tego rodzaju, że ich dalsze przetwarzanie byłoby „pilnie potrzebne” w takich nagłych przypadkach.

(30)

Wreszcie wyłączenie częściowe ma zastosowanie do danych osobowych zbieranych lub wykorzystywanych przez prasę, do działalności misyjnej prowadzonej przez organizacje religijne lub do celów zgłaszania kandydatów przez partie polityczne. Wyłączenie to ma zastosowanie wyłącznie w przypadku przetwarzania danych osobowych przez prasę, organizacje religijne lub partie polityczne do tych szczególnych celów (tj. działalności dziennikarskiej, pracy misyjnej i zgłaszania kandydatów na stanowiska polityczne). Jeżeli podmioty te przetwarzają dane osobowe do innych celów, takich jak zarządzanie zasobami ludzkimi lub administracja wewnętrzna, PIPA ma zastosowanie w pełnym zakresie.

(31)

W przypadku przetwarzania danych osobowych przez prasę do celów działalności dziennikarskiej równowagę między wolnością wypowiedzi a innymi prawami (w tym prawem do prywatności) zapewnia ustawa o arbitrażu i innych środkach ochrony prawnej w przypadku szkód wyrządzonych wskutek publikacji prasowych (ustawa prasowa) (44). W szczególności art. 5 ustawy prasowej stanowi, że prasa (tj. każda organizacja medialna, gazeta, czasopismo lub gazeta internetowa), żaden internetowy serwis informacyjny ani internetowa organizacja multimedialna nie może naruszać prywatności osób fizycznych. Jeżeli jednak dojdzie do naruszenia prywatności, należy je niezwłocznie usunąć zgodnie ze szczególnymi procedurami określonymi w ustawie. W tym zakresie w ustawie przyznano osobom, które poniosły szkodę wskutek materiału prasowego, szereg uprawnień, takich jak żądanie opublikowania sprostowania nieprawdziwej informacji, materiału o sprzecznej treści lub kolejnego materiału prasowego (w przypadku gdy publikacja prasowa dotyczy zarzutów popełnienia przestępstwa, z których dana osoba fizyczna została później oczyszczona) (45). Skargi osób fizycznych mogą być rozstrzygane przez redakcje prasowe bezpośrednio (za pośrednictwem rzecznika) (46), w drodze postępowania pojednawczego lub polubownego (przed wyspecjalizowaną komisją arbitrażową ds. prasy) (47) lub przed sądem. Osoby fizyczne mogą również uzyskać odszkodowanie, gdy doznają szkody majątkowej, naruszenia dóbr osobistych lub innego rodzaju cierpienia emocjonalnego z powodu bezprawnego działania prasy (z winy umyślnej lub przez niedbalstwo) (48). Prasa jest zwolniona z odpowiedzialności na mocy ustawy w zakresie, w jakim publikacja prasowa, która narusza prawa jednostki, nie jest sprzeczna z wartościami społecznymi i ukazała się za zgodą zainteresowanej osoby lub w interesie publicznym (i istnieją wystarczające podstawy, aby uznać, że doniesienie odpowiada prawdzie) (49).

(32)

O ile zatem przetwarzanie danych osobowych przez prasę na potrzeby działalności dziennikarskiej podlega szczególnym zabezpieczeniom, które wynikają z ustawy prasowej, o tyle brak jest takich dodatkowych zabezpieczeń obramowujących korzystanie z wyjątków dotyczących czynności przetwarzania przez organizacje religijne i partie polityczne w sposób porównywalny do art. 85, 89 i 91 rozporządzenia (UE) 2016/679. Komisja uważa zatem za właściwe wyłączenie z zakresu stosowania niniejszej decyzji organizacji religijnych w zakresie, w jakim przetwarzają one dane osobowe na potrzeby swojej działalności misyjnej, oraz partii politycznych w zakresie, w jakim przetwarzają one dane osobowe w kontekście zgłaszania kandydatów.

(33)

Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie.

(34)

Zasada ta została ustanowiona w art. 3 ust. 1 i 2 PIPA i wzmocniona w art. 59 PIPA, w którym zabrania się przetwarzania danych osobowych „w wyniku oszustwa, w sposób niewłaściwy lub nieuczciwy”, „bez podstawy prawnej” lub „poza zakresem należytego upoważnienia” (50). Te ogólne zasady zgodnego z prawem przetwarzania danych rozwinięto w art. 15–19 PIPA, w których określono poszczególne podstawy prawne przetwarzania danych (zbieranie, wykorzystywanie i przekazywanie stronom trzecim), w tym okoliczności, w których może się z nim wiązać zmiana celu (art. 18 PIPA).

(35)

Zgodnie z art. 15 ust. 1 PIPA administrator może zbierać dane osobowe (w zakresie celu zbierania) jedynie w oparciu o ograniczoną liczbę podstaw prawnych. Są to: 1) zgoda osoby, której dane dotyczą (51) (pkt 1); 2) niezbędność tych danych do wykonania umowy zawartej z osobą, której dane dotyczą (pkt 4); 3) specjalne upoważnienie ustawowe lub konieczność wypełnienia obowiązku prawnego (pkt 2); niezbędność tych danych (52) do wykonywania przez instytucję publiczną zadań wchodzących w zakres jej właściwości zgodnie z przepisami prawa; 4) sytuacja, gdy dane te są w sposób oczywisty niezbędne do ochrony życia, integralności cielesnej lub interesów majątkowych osoby, której dane dotyczą, lub strony trzeciej przed bezpośrednim niebezpieczeństwem (wyłącznie jeśli osoba, której dane dotyczą, nie jest w stanie wyrazić swojej woli lub nie można uzyskać jej uprzedniej zgody) (pkt 5); 5) niezbędność tych danych do realizacji „uzasadnionego interesu” administratora, jeżeli jest on „w oczywisty sposób nadrzędny” wobec interesów osoby, której dane dotyczą (i wyłącznie jeśli przetwarzanie ma „istotny związek” z prawnie uzasadnionym interesem i nie wykracza poza to, co jest uzasadnione) (pkt 6) (53). Te podstawy przetwarzania zasadniczo odpowiadają podstawom określonym w art. 6 rozporządzenia (UE) 2016/679, w tym przesłance „uzasadnionego interesu”, która jest równoważna z przesłanką „prawnie uzasadnionego interesu” określoną w art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679.

(36)

Zebrane dane osobowe mogą być wykorzystywane w zakresie objętym celem zbierania (art. 15 ust. 1 PIPA) lub „w zakresie racjonalnie powiązanym” z celem zbierania, biorąc pod uwagę ewentualne niedogodności dla osoby, której dane dotyczą, oraz pod warunkiem wprowadzenia niezbędnych środków bezpieczeństwa (np. szyfrowania) (art. 15 ust. 3 PIPA). Aby ustalić, czy cel wykorzystania jest „racjonalnie powiązany” z pierwotnym celem zbierania, w dekrecie wykonawczym określono szczegółowe kryteria, które są podobne do kryteriów przewidzianych w art. 6 ust. 4 rozporządzenia (UE) 2016/679. W szczególności zbieranie danych musi mieć istotne znaczenie dla pierwotnego celu; dodatkowe wykorzystanie musi być przewidywalne (na przykład w świetle okoliczności, w których zebrano informacje) oraz, o ile to możliwe, dane muszą zostać spseudonimizowane (54). Konkretne kryteria stosowane przez administratora w ramach tej oceny muszą zostać wcześniej ujawnione w polityce prywatności (55). Ponadto urzędnik ds. ochrony prywatności (zob. motyw (94)) jest szczególnie zobowiązany do sprawdzenia, czy dalsze wykorzystanie odbywa się w ramach tych parametrów.

(37)

Podobne (ale nieco bardziej rygorystyczne) zasady obowiązują w przypadku przekazywania danych stronie trzeciej. Zgodnie z art. 17 ust. 1 PIPA przekazanie danych osobowych stronie trzeciej jest dozwolone na podstawie zgody (56) lub, w zakresie objętym celem zbierania, jeżeli informacje zebrano w oparciu o jedną z podstaw prawnych określonych w art. 15 ust. 1 pkt 2, 3 i 5 PIPA. Wyklucza to w szczególności wszelkie ujawnienia oparte na „uzasadnionym interesie” administratora. Poza tym w art. 17 ust. 4 PIPA zezwala się na przekazywanie danych stronom trzecim „w zakresie racjonalnie powiązanym” z celem zbierania, ponownie z uwzględnieniem ewentualnych niedogodności dla osoby, której dane dotyczą, oraz pod warunkiem przyjęcia niezbędnych środków bezpieczeństwa (takich jak szyfrowanie). Przy ocenie, czy przekazywanie mieści się w zakresie racjonalnie powiązanym z celem zbierania, muszą być brane pod uwagę te same czynniki, co opisane w motywie (36), i mają zastosowanie te same zabezpieczenia (tj. w odniesieniu do przejrzystości na podstawie polityki prywatności i w drodze zaangażowania urzędnika ds. ochrony prywatności).

(38)

Otrzymanie danych osobowych z Unii przez koreańskiego administratora danych osobowych jest uważane za „zbieranie” w rozumieniu art. 15 PIPA. W zawiadomieniu nr 2021-5 (sekcja I załącznika I do niniejszej decyzji) wyjaśniono, że cel, w którym dane zostały przekazane przez dany podmiot UE, stanowi dla koreańskiego administratora danych osobowych cel zbierania danych. W konsekwencji koreańscy administratorzy danych osobowych otrzymujący dane osobowe z Unii są co do zasady zobowiązani do przetwarzania takich danych w zakresie celu przekazania, zgodnie z art. 17 PIPA.

(39)

W przypadku gdy administrator zamierza wykorzystać dane osobowe lub udostępnić je stronie trzeciej w innym celu niż cel zbierania, zastosowanie mają szczególne ograniczenia (57). Zgodnie z art. 18 ust. 2 PIPA administrator prywatny może wyjątkowo (58) wykorzystać dane osobowe lub przekazać je stronie trzeciej w innym celu: 1) na podstawie dodatkowej (tzn. odrębnej) zgody osoby, której dane dotyczą; 2) jeżeli jest to przewidziane w szczególnych przepisach ustawowych lub 3) jeżeli jest to w sposób oczywisty konieczne do ochrony życia, integralności cielesnej lub interesów majątkowych osoby, której dane dotyczą, lub strony trzeciej przed bezpośrednim niebezpieczeństwem (wyłącznie jeśli osoba, której dane dotyczą, nie jest w stanie wyrazić swojej woli i nie jest możliwe uzyskanie uprzedniej zgody) (59).

(40)

Instytucje publiczne mogą także w określonych sytuacjach wykorzystać dane osobowe lub udostępnić je stronie trzeciej w innym celu. Obejmuje to przypadki, w których w przeciwnym razie instytucje publiczne nie mogłyby wykonywać swoich ustawowych obowiązków zgodnie z prawem, z zastrzeżeniem zezwolenia PIPC. Ponadto instytucje publiczne mogą udostępnić dane osobowe innemu organowi lub sądowi, gdy jest to niezbędne do prowadzenia postępowania przygotowawczego i ścigania przestępstw; do wykonywania przez sąd funkcji związanych z toczącym się postępowaniem sądowym lub do egzekwowania sankcji karnej lub nakazu opieki, lub władzy rodzicielskiej (60). Mogą one również udostępnić dane osobowe obcemu rządowi lub organizacji międzynarodowej w celu wypełnienia zobowiązania prawnego wynikającego z traktatu lub konwencji międzynarodowej, w którym to przypadku muszą również przestrzegać wymogów dotyczących przekazywania danych na poziomie transgranicznym (zob. motyw (90)).

(41)

Zasady zgodności z prawem i rzetelności przetwarzania są zatem wdrożone w koreańskich ramach prawnych w sposób zasadniczo odpowiadający przepisom rozporządzenia (UE) 2016/679, zezwalając na przetwarzanie wyłącznie w oparciu o uzasadnione i jasno określone podstawy. Ponadto we wszystkich wymienionych przypadkach przetwarzanie jest dozwolone wyłącznie wówczas, gdy nie jest prawdopodobne, że „naruszy w sposób nieuzasadniony” interesy osoby, której dane dotyczą, lub strony trzeciej, co wymaga wyważenia interesów. Ponadto art. 18 ust. 5 PIPA przewiduje dodatkowe zabezpieczenia, w przypadku gdy administrator udostępnia dane osobowe stronie trzeciej, co może obejmować żądanie ograniczenia celu i sposobu wykorzystania lub wprowadzenia określonych środków bezpieczeństwa. Z kolei strona trzecia jest zobowiązana do wdrożenia żądanych środków.

(42)

Ponadto art. 28-2 PIPA umożliwia (dalsze) przetwarzanie informacji spseudonimizowanych bez zgody zainteresowanej osoby fizycznej do celów statystycznych, do celów badań naukowych (61) i do celów archiwalnych w interesie publicznym, z zastrzeżeniem szczególnych zabezpieczeń. Podobnie jak w przypadku rozporządzenia (UE) 2016/679 (62) PIPA ułatwia zatem (dalsze) przetwarzanie danych osobowych do takich celów w ramach zapewniających odpowiednie zabezpieczenia na potrzeby ochrony praw osób fizycznych. Zamiast polegać na pseudonimizacji jako możliwym zabezpieczeniu, w PIPA przewidziany jest wymóg zastosowania pseudonimizacji jako warunku wstępnego przeprowadzenia określonych czynności przetwarzania do celów statystycznych, do celów badań naukowych i do celów archiwalnych w interesie publicznym (dotyczy to na przykład możliwości przetwarzania danych bez zgody lub łączenia różnych zbiorów danych).

(43)

Ponadto PIPA nakłada szereg szczególnych zabezpieczeń, w szczególności w zakresie wymaganych środków technicznych i organizacyjnych, prowadzenia rejestrów, ograniczeń udostępniania danych oraz przeciwdziałania ewentualnemu ryzyku ponownej identyfikacji. Połączenie poszczególnych zabezpieczeń opisanych w motywach (44)–(48) gwarantuje, że przetwarzanie danych osobowych w tym kontekście podlega zabezpieczeniom zasadniczo odpowiadającym tym, które byłyby wymagane zgodnie z rozporządzeniem (UE) 2016/679.

(44)

Po pierwsze, co najważniejsze, art. 28-5 ust. 1 PIPA zakazuje przetwarzania informacji spseudonimizowanych w celu identyfikacji określonej osoby fizycznej. Jeżeli jednak podczas przetwarzania informacji spseudonimizowanych zostałyby wygenerowane informacje, które umożliwiałyby zidentyfikowanie danej osoby fizycznej, administrator musi niezwłocznie zawiesić przetwarzanie i zniszczyć takie informacje (art. 28-5 ust. 2 PIPA). Nieprzestrzeganie tych przepisów podlega administracyjnym karom pieniężnym i stanowi przestępstwo (63). Oznacza to, że nawet w sytuacjach, w których ponowna identyfikacja osoby fizycznej byłaby możliwa w praktyce, taka ponowna identyfikacja jest prawnie zabroniona.

(45)

Po drugie, przy (dalszym) przetwarzaniu informacji spseudonimizowanych w takich celach, administrator jest zobowiązany do wprowadzenia określonych środków technologicznych, zarządczych i fizycznych w celu zapewnienia bezpieczeństwa informacji (w tym oddzielnego przechowywania informacji niezbędnych do przywrócenia informacji spseudonimizowanych do ich pierwotnego stanu oraz zarządzania nimi) (64). Ponadto obowiązuje wymóg prowadzenia rejestru przetwarzanych informacji spseudonimizowanych, celu przetwarzania, historii wykorzystania oraz wszelkich odbiorców będących stronami trzecimi (art. 29-5 ust. 2 dekretu wykonawczego do PIPA).

(46)

Po trzecie i ostatnie, PIPA przewiduje szczególne zabezpieczenia zapobiegające identyfikacji osób fizycznych przez strony trzecie, w przypadku gdy informacje są udostępniane. W szczególności przy przekazywaniu informacji spseudonimizowanych stronie trzeciej do celów statystycznych, do celów badań naukowych lub do celów archiwalnych w interesie publicznym administratorzy nie mogą podawać informacji, które mogłyby posłużyć do identyfikacji konkretnej osoby fizycznej (art. 28-2 ust. 2 PIPA) (65).

(47)

Ściślej mówiąc, chociaż w PIPA zezwolono na łączenie informacji spseudonimizowanych (przetwarzanych przez różnych administratorów) do celów statystycznych, do celów badań naukowych lub do celów archiwalnych w interesie publicznym, zastrzeżono to uprawnienie dla wyspecjalizowanych instytucji wyposażonych w określone środki ochrony (art. 28-3 ust. 1) PIPA) (66). Ubiegając się o połączenie danych spseudonimizowanych, administrator musi przedstawić dokumentację dotyczącą m.in. danych, które mają zostać połączone, celu połączenia, a także proponowanych środków bezpieczeństwa przetwarzania połączonych danych (67). Aby umożliwić połączenie, administrator musi przesłać dane, które mają zostać połączone, do wyspecjalizowanej instytucji i przekazać „klucz połączenia” (tj. informacje, które zostały użyte do pseudonimizacji) Koreańskiej Agencji ds. Internetu i Bezpieczeństwa (ang. Korea Internet and Security Agency) (68). Ta ostatnia generuje „dane powiązane klucza połączenia” (co pozwala na powiązanie kluczy połączenia różnych wnioskodawców w celu uzyskania połączenia zbiorów danych) i dostarcza je wyspecjalizowanej instytucji (69).

(48)

Administrator wnioskujący o połączenie może dokonać analizy połączonych informacji w siedzibie wyspecjalizowanej instytucji, w miejscu, w którym stosowane są określone techniczne, fizyczne i administracyjne środki bezpieczeństwa (art. 29-3 dekretu wykonawczego do PIPA). Administratorzy, którzy dostarczają zbiór danych do takiego połączenia, mogą przenieść połączone dane poza wyspecjalizowaną instytucję wyłącznie po dalszej pseudonimizacji lub anonimizacji połączonych danych i za zgodą tej instytucji (art. 28-3 ust. 2 PIPA) (70). Ustalając, czy udzielić takiej zgody, instytucja oceni związek między połączonymi danymi a celem przetwarzania oraz czy sporządzono specjalny plan bezpieczeństwa na potrzeby wykorzystania takich danych (71). Przenoszenie połączonych informacji poza instytucję nie będzie dozwolone, jeśli informacje zawierają dane umożliwiające identyfikację osoby fizycznej (72). Ponadto łączenie i udostępnianie danych spseudonimizowanych przez wyspecjalizowaną instytucję jest nadzorowane przez PIPC (art. 29-4 ust. 3 dekretu wykonawczego do PIPA).

(49)

Jeżeli przetwarzane są „szczególne kategorie” danych, powinny istnieć szczególne zabezpieczenia.

(50)

PIPA zawiera przepisy szczegółowe dotyczące przetwarzania danych wrażliwych (73), czyli danych osobowych ujawniających informacje dotyczące światopoglądu, przekonań, przyjęcia do związku zawodowego lub partii politycznej lub wystąpienia z nich, poglądów politycznych, zdrowia oraz życia seksualnego osoby fizycznej, a także innych danych osobowych, które mogą „wyraźnie” zagrozić prywatności osoby, której dane dotyczą, i zostały określone jako informacje szczególnie chronione na mocy dekretu prezydenckiego (74). Zgodnie z wyjaśnieniami otrzymanymi od PIPC życie seksualne jest interpretowane jako obejmujące również orientację lub preferencje seksualne danej osoby fizycznej (75). Ponadto w art. 18 dekretu wykonawczego dodano kolejne kategorie do zakresu danych wrażliwych, w szczególności informacje na temat DNA uzyskane z badań genetycznych oraz informacje z rejestru karnego. Niedawną zmianą dekretu wykonawczego do PIPA rozszerzono dodatkowo pojęcie danych wrażliwych, uwzględniając również dane osobowe ujawniające pochodzenie rasowe lub etniczne oraz informacje biometryczne (76). W następstwie tej zmiany pojęcie danych wrażliwych w rozumieniu PIPA zasadniczo odpowiada temu pojęciu w rozumieniu art. 9 rozporządzenia (UE) 2016/679.

(51)

Zgodnie z art. 23 ust. 1 PIPA i podobnie jak w art. 9 ust. 1 rozporządzenia (UE) 2016/679 przetwarzanie danych wrażliwych jest co do zasady zabronione, chyba że ma zastosowanie jeden z konkretnie wyliczonych wyjątków (77). Wyjątki te dotyczą przypadków, w których administrator informuje osobę, której dane dotyczą, zgodnie z art. 15 i 17 PIPA, i uzyskuje odrębną zgodę (tj. odrębną od zgody na przetwarzanie innych danych osobowych) lub gdy przetwarzanie jest wymagane lub dozwolone przez ustawę. Organy publiczne mogą również przetwarzać dane biometryczne, informacje na temat DNA uzyskane z badań genetycznych, dane osobowe ujawniające pochodzenie rasowe lub etniczne oraz informacje z rejestru karnego na podstawach, które są dostępne wyłącznie dla nich (na przykład, w stosownych przypadkach, do celów postępowania przygotowawczego w sprawach o przestępstwa lub, w stosownych przypadkach, aby sąd mógł przystąpić do rozpoznawania sprawy) (78). W związku z tym dostępne podstawy prawne przetwarzania danych wrażliwych są bardziej ograniczone niż w przypadku innych rodzajów danych osobowych, a nawet bardziej restrykcyjne w prawie koreańskim niż na podstawie art. 9 ust. 2 rozporządzenia (UE) 2016/679.

(52)

Ponadto w art. 23 ust. 2 PIPA – do którego niezastosowanie się może skutkować nałożeniem sankcji (79) – podkreśla się szczególne znaczenie zapewnienia odpowiedniego bezpieczeństwa podczas przetwarzania danych wrażliwych, aby „nie mogły zostać zgubione, skradzione, ujawnione, sfałszowane, zmienione lub uszkodzone”. Chociaż jest to ogólny wymóg na mocy art. 29 PIPA, w art. 3 ust. 4 wyjaśniono, że poziom bezpieczeństwa musi być dostosowany do rodzaju przetwarzanych danych osobowych, co oznacza, że musi być brane pod uwagę szczególne ryzyko związane z przetwarzaniem danych wrażliwych. Ponadto przetwarzanie danych powinno zawsze odbywać się „w sposób minimalizujący możliwość naruszenia” prywatności osoby, której dane dotyczą, oraz w miarę możliwości „anonimowo” (art. 3 ust. 6 i 7 PIPA). Wymogi te są szczególnie istotne, gdy przetwarzanie dotyczy danych wrażliwych.

(53)

Dane osobowe powinny być zbierane w określonym celu i w sposób, który nie jest niezgodny z celem przetwarzania.

(54)

Tę zasadę zapewnia art. 3 ust. 1 i 2 PIPA, zgodnie z którym administrator „określa i precyzuje” cel przetwarzania, przetwarza dane osobowe w odpowiedni sposób niezbędny do osiągnięcia tego celu i nie wykorzystuje ich w sposób wykraczający poza ten cel. Ogólna zasada ograniczenia celu znajduje również potwierdzenie w art. 15 ust. 1, art. 18 ust. 1, art. 19 oraz – w przypadku podmiotów przetwarzających (tzw. dostawców usług outsourcingowych) – w art. 26 ust. 1 pkt 1, 5 i 7 PIPA. W szczególności dane osobowe mogą co do zasady być wykorzystywane i udostępniane stronom trzecim wyłącznie w zakresie celu, w którym zostały zebrane (art. 15 ust. 1 i art. 17 ust. 1 pkt 2). Przetwarzanie w zgodnym celu, tj. „w zakresie racjonalnie powiązanym z pierwotnym celem zbierania”, może mieć miejsce wyłącznie wówczas, gdy nie ma to negatywnego wpływu na osoby, których dane dotyczą, i jeśli zostaną wdrożone niezbędne środki bezpieczeństwa (takie jak szyfrowanie) (art. 15 ust. 3 i 17 ust. 4 PIPA). Aby ustalić, czy dalsze przetwarzanie odbywa się w zgodnym celu, w dekrecie wykonawczym do PIPA wymieniono szczegółowe kryteria, podobne do kryteriów przewidzianych w art. 6 ust. 4 rozporządzenia (UE) 2016/679, zob. motyw (36).

(55)

Jak wyjaśniono w motywie (38), celem zbierania danych w przypadku koreańskich administratorów otrzymujących dane osobowe z Unii jest cel, w którym dane te są przekazywane. Zmiana celu przez administratora jest dozwolona wyłącznie wyjątkowo, w określonych (konkretnie wyliczonych) przypadkach (art. 18 ust. 2 pkt 1–3 PIPA, zob. również motyw (39)). W zakresie, w jakim zmiana celu jest dozwolona przepisami prawa, takie przepisy z kolei muszą respektować podstawowe prawo do prywatności i ochrony danych, jak również zasady konieczności i proporcjonalności określone w koreańskiej konstytucji. Ponadto w art. 18 ust. 2 i 5 PIPA przewiduje się dodatkowe zabezpieczenia, w szczególności wymóg, aby taka zmiana celu nie „naruszyła w sposób nieuzasadniony interesu osoby, której dane dotyczą”, co zawsze wymaga wyważenia interesów. Zapewnia to stopień ochrony zasadniczo odpowiadający stopniowi ochrony, o którym mowa w art. 5 ust. 1 lit. b) oraz art. 6 w związku z motywem 50 rozporządzenia (UE) 2016/679.

(56)

Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być one również adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

(57)

Zasada prawidłowości jest podobnie uznana w art. 3 ust. 3 PIPA, który wymaga, aby dane osobowe były „prawidłowe, kompletne i aktualne w zakresie niezbędnym do celów”, w których dane są przetwarzane. Minimalizacja danych jest wymagana na podstawie art. 3 ust. 1 i 6 i art. 16 ust. 1 PIPA, które stanowią, że administrator powinien zbierać dane osobowe (wyłącznie) „w minimalnym zakresie, jaki jest niezbędny” do osiągnięcia zamierzonego celu, i że to na nim spoczywa ciężar dowodu w tym zakresie. Jeżeli możliwe jest osiągnięcie celu zbierania w drodze przetwarzania informacji w formie zanonimizowanej, administratorzy powinni podjąć starania, aby to zrobić (art. 3 ust. 7 PIPA).

(58)

Co do zasady dane osobowe nie powinny być przechowywane przez okres dłuższy, niż jest to niezbędne do celów, w których te dane osobowe są przetwarzane.

(59)

Zasada ograniczenia przechowywania jest podobnie określona w art. 21 ust. 1 PIPA (80), który nakłada na administratora obowiązek „zniszczenia” (81) danych osobowych niezwłocznie po osiągnięciu celu przetwarzania lub po upływie okresu zatrzymywania (w zależności od tego, co nastąpi wcześniej), chyba że zatrzymywanie jest wymagane ustawą (82). W tym ostatnim przypadku odnośne dane osobowe „są przechowywane i zarządzane oddzielnie od innych danych osobowych” (art. 21 ust. 3 PIPA).

(60)

Art. 21 ust. 1 PIPA nie ma zastosowania, gdy do celów statystycznych, do celów badań naukowych lub do celów archiwalnych w interesie publicznym przetwarzane są dane spseudonimizowane (83). Aby zapewnić przestrzeganie zasady ograniczonego zatrzymywania danych również w tym przypadku, w zawiadomieniu nr 2021-5 wymaga się od administratorów przeprowadzenia anonimizacji zgodnie z art. 58-2 PIPA, jeżeli dane nie zostały zniszczone po osiągnięciu określonego celu przetwarzania (84).

(61)

Dane osobowe powinny być przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu podmioty gospodarcze powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej, koszty ich wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także zagrożenia dla praw osób fizycznych.

(62)

Podobną zasadę bezpieczeństwa określono w art. 3 ust. 4 PIPA, który wymaga od administratorów „bezpiecznego zarządzania danymi osobowymi zgodnie z metodami przetwarzania, rodzajami itp. danych osobowych, z uwzględnieniem możliwości naruszenia praw osób, których dane dotyczą, oraz wagi odnośnych zagrożeń”. Ponadto administrator „przetwarza dane osobowe w sposób służący ograniczeniu do minimum możliwości naruszenia prywatności osoby, której dane dotyczą”, i w tym kontekście dokłada wszelkich starań, aby przetwarzać dane osobowe w sposób anonimowy lub w miarę możliwości w formie spseudonimizowanej (art. 3 ust. 6 i 7 PIPA).

(63)

Te ogólne wymogi omówiono dokładniej w art. 29 PIPA, zgodnie z którym każdy administrator „podejmuje środki techniczne, zarządcze i fizyczne, takie jak ustanowienie planu zarządzania wewnętrznego oraz przechowywanie rejestrów logowania itp., niezbędne do zapewnienia bezpieczeństwa określonego w dekrecie prezydenta, aby dane osobowe nie zostały utracone, skradzione, ujawnione, podrobione, zmienione lub uszkodzone”. W art. 30 ust. 1 dekretu wykonawczego do PIPA określono te środki poprzez odniesienie do 1) sformułowania i wdrożenia planu zarządzania wewnętrznego dotyczącego bezpiecznego przetwarzania danych osobowych, 2) kontroli i ograniczeń dostępu, 3) przyjęcia technologii szyfrowania w celu bezpiecznego przechowywania i przekazywania danych osobowych, 4) rejestrów logowania, 5) programów bezpieczeństwa oraz 6) środków fizycznych, takich jak system bezpiecznego przechowywania lub blokowania (85).

(64)

Ponadto w przypadku naruszenia ochrony danych zastosowanie mają szczególne zobowiązania (art. 34 PIPA w związku z art. 39 i 40 dekretu wykonawczego do PIPA) (86). W szczególności administrator jest zobowiązany do niezwłocznego powiadomienia poszkodowanych osób, których dane dotyczą, o szczegółach takiego naruszenia (87), w tym przekazania im informacji o (obowiązkowych) środkach zaradczych zastosowanych przez administratora oraz o tym, co mogą zrobić osoby, których dane dotyczą, by zminimalizować ryzyko wystąpienia szkody (art. 34 ust. 1 i 2 PIPA) (88). Jeżeli naruszenie ochrony danych dotyczy co najmniej 1 000 osób, których dane dotyczą, administrator niezwłocznie zgłasza takie naruszenie ochrony danych i zastosowane środki zaradcze do PIPC oraz Koreańskiej Agencji ds. Internetu i Bezpieczeństwa, które mogą udzielić pomocy technicznej (art. 34 ust. 3 PIPA w związku z art. 39 dekretu wykonawczego do PIPA). Administratorzy ponoszą odpowiedzialność za szkody wynikające z naruszenia ochrony danych, zgodnie z przepisami kodeksu cywilnego dotyczącymi odpowiedzialności deliktowej (zob. również pkt 2.5 dotyczący dochodzenia roszczeń) (89).

(65)

W wypełnianiu zobowiązań w zakresie bezpieczeństwa administratora musi wspierać urzędnik ds. ochrony prywatności, którego zadaniem jest m.in. budowa systemu kontroli wewnętrznej „w celu zapobiegania ujawnianiu i wykorzystywaniu danych osobowych niezgodnie z przeznaczeniem” (art. 31 ust. 2 pkt 4 PIPA). Ponadto administrator ma obowiązek prowadzenia „odpowiedniej kontroli i odpowiedniego nadzoru” nad pracownikami przetwarzającymi dane osobowe, w tym w zakresie bezpiecznego zarządzania nimi; obejmuje to niezbędne szkolenia (instruktaż) pracowników (art. 28 ust. 1 i 2 PIPA). Wreszcie, w przypadku podwykonawstwa przetwarzania, administrator musi nałożyć na „dostawcę usług outsourcingowych” wymogi dotyczące między innymi bezpiecznego zarządzania danymi osobowymi („zabezpieczenia techniczne i zarządcze”) oraz musi nadzorować ich wdrażanie, przeprowadzając kontrole (art. 26 ust. 1 i 4 PIPA w związku z art. 28 ust. 1 pkt 3 i 4 oraz art. 28 ust. 6 dekretu wykonawczego do PIPA).

(66)

Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.

(67)

W systemie koreańskim zapewnia się to na różne sposoby. Oprócz prawa do informacji określonego w art. 4 pkt 1 (ogólnie) i art. 20 ust. 1 PIPA (w odniesieniu do danych osobowych zebranych od stron trzecich) oraz prawa dostępu określonego w art. 35 PIPA zawiera ogólny wymóg w zakresie przejrzystości w odniesieniu do celu przetwarzania (art. 3 ust. 1 PIPA) oraz szczególne wymogi przejrzystości, w przypadku gdy przetwarzanie odbywa się na podstawie zgody (art. 15 ust. 2, art. 17 ust. 2 i art. 18 ust. 3 PIPA) (90). Ponadto w art. 20 ust. 2 PIPA na niektórych administratorów – w przypadku których przetwarzanie przekracza określone progi (91) – nakłada się obowiązek powiadomienia osoby, której dane osobowe otrzymali od strony trzeciej, o źródle informacji, celu przetwarzania oraz prawie tej osoby do żądania zawieszenia przetwarzania, chyba że takie powiadomienie okaże się niemożliwe ze względu na brak jakichkolwiek danych kontaktowych. Wyjątki mają zastosowanie do niektórych zbiorów danych osobowych znajdujących się w posiadaniu organów publicznych, w szczególności zbiorów zawierających dane przetwarzane ze względów bezpieczeństwa narodowego, innych szczególnie ważnych („nadrzędnych”) interesów narodowych lub do celów ścigania przestępstw, lub gdy istnieje prawdopodobieństwo, że powiadomienie może spowodować szkodę dla życia lub integralności cielesnej innej osoby lub nieuzasadnione naruszenie interesów majątkowych lub innych interesów innej osoby, jednak wyłącznie w przypadku, gdy istniejące interesy publiczne lub prywatne są „w oczywisty sposób nadrzędne” wobec praw zainteresowanych osób, których dane dotyczą (art. 20 ust. 4 PIPA). Wymaga to wyważenia interesów.

(68)

Ponadto w art. 3 ust. 5 PIPA na administratorów nakłada się obowiązek podawania do publicznej wiadomości stosowanej polityki prywatności (i innych kwestii związanych z przetwarzaniem danych osobowych). Wymóg ten doprecyzowano w art. 30 PIPA w związku z art. 31 dekretu wykonawczego do PIPA. Zgodnie z tymi przepisami publiczna polityka prywatności musi zawierać m.in. informacje na temat 1) rodzajów przetwarzanych danych osobowych, 2) celu przetwarzania, 3) okresu zatrzymywania, 4) tego, czy dane osobowe są przekazywane stronie trzeciej (92), 5) wszelkich przypadków podwykonawstwa przetwarzania, 6) informacji o prawach osoby, której dane dotyczą, i sposobach ich wykonywania oraz 7) informacji kontaktowych (w tym imienia i nazwiska urzędnika ds. ochrony prywatności lub nazwy wewnętrznego działu odpowiedzialnego za zapewnienie zgodności z przepisami o ochronie danych i rozpatrywanie skarg). Polityka prywatności musi być publicznie dostępna w taki sposób, aby osoby, których dane dotyczą, „mogły ją z łatwością zidentyfikować” (art. 30 ust. 2 PIPA) (93), i musi być stale aktualizowana (art. 31 ust. 2 dekretu wykonawczego do PIPA).

(69)

Instytucje publiczne podlegają dodatkowemu obowiązkowi rejestracji w PIPC w szczególności następujących informacji: 1) nazwy instytucji publicznej, 2) podstaw i celów przetwarzania zbiorów danych osobowych, 3) danych dotyczących rejestrowanych danych osobowych, 4) metody przetwarzania, 5) okresu zatrzymywania, 6) liczby osób, których dane osobowe są zatrzymywane, 7) działu, który rozpatruje wnioski osób, których dane dotyczą, oraz 8) odbiorców danych osobowych, jeżeli dane są przekazywane w sposób rutynowy lub powtarzalny (art. 32 ust. 1 PIPA) (94). Zarejestrowane zbiory danych osobowych są publicznie udostępniane przez PIPC i muszą być również przywoływane przez instytucje publiczne w ich polityce prywatności (art. 30 ust. 1 i art. 32 ust. 4 PIPA).

(70)

Aby zwiększyć przejrzystość w stosunku do osób w Unii, których dane osobowe przekazywane są do Korei na podstawie niniejszej decyzji, w sekcji 3 pkt (i) i (ii) zawiadomienia nr 2021-5 (załącznik I) nakłada się dodatkowe wymogi w zakresie przejrzystości. Po pierwsze, otrzymując dane osobowe z Unii na podstawie niniejszej decyzji, koreańscy administratorzy muszą bez zbędnej zwłoki (a w każdym razie nie później niż w ciągu miesiąca od przekazania) powiadomić zainteresowane osoby, których dane dotyczą, o nazwie i danych kontaktowych podmiotów przekazujących i odbierających informacje, przekazanych danych osobowych (lub kategoriach danych osobowych), celu zbierania przez koreańskiego administratora, okresie zatrzymywania oraz prawach przysługujących tym osobom na mocy PIPA. Po drugie, przekazując stronom trzecim dane osobowe otrzymane z Unii na podstawie niniejszej decyzji, należy poinformować osoby, których dane dotyczą, między innymi o odbiorcy, danych osobowych lub kategoriach danych osobowych, które mają zostać przekazane, państwie, do którego dane są przekazywane (w stosownych przypadkach), a także o prawach przysługujących na mocy PIPA (95). W ten sposób zawiadomienie gwarantuje, że osoby fizyczne w UE nadal będą informowane o określonych administratorach przetwarzających ich dane i będą mogły wykonywać swoje prawa wobec odpowiednich podmiotów.

(71)

W sekcji 3 pkt (iii) zawiadomienia (załącznik I) dopuszcza się pewne ograniczone wyjątki i wyjątki z zastrzeżeniami od tych dodatkowych obowiązków zapewnienia przejrzystości, które zasadniczo odpowiadają wyjątkom przewidzianym w rozporządzeniu (UE) 2016/679. W szczególności nie ma konieczności powiadamiania osób, których dane dotyczą, w Unii 1) w przypadku gdy i dopóki konieczne jest ograniczenie powiadamiania z określonych względów interesu publicznego (na przykład gdy informacje przetwarzane są do celów bezpieczeństwa narodowego lub trwającego postępowania przygotowawczego), w zakresie, w jakim te cele interesu publicznego są w oczywisty sposób nadrzędne wobec praw osoby, której dane dotyczą; 2) w przypadku gdy osoba, której dane dotyczą, dysponuje już tymi informacjami; 3) w przypadku gdy i dopóki istnieje prawdopodobieństwo, że powiadomienie może spowodować szkodę dla życia lub integralności cielesnej osoby fizycznej lub innej osoby lub nieuzasadnione naruszenie interesów majątkowych innej osoby, o ile te prawa lub interesy są w oczywisty sposób nadrzędne wobec praw osoby, której dane dotyczą; lub 4) w przypadku gdy brak jest danych kontaktowych osób, których dane dotyczą, lub powiadomienie ich wymagałoby niewspółmiernie dużego wysiłku. Określając, czy możliwe jest skontaktowanie się z osobą, której dane dotyczą, lub czy wymaga to nadmiernego wysiłku, bierze się pod uwagę możliwość współpracy z podmiotem przekazującym dane w Unii.

(72)

Przepisy zawarte w motywach (67)–(71) zapewniają zatem stopień ochrony w zakresie przejrzystości zasadniczo odpowiadający temu, który przewidziano w rozporządzeniu (UE) 2016/679.

(73)

Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do danych, prawo do sprostowania danych, prawo do sprzeciwu wobec przetwarzania danych oraz prawo do usunięcia danych. Jednocześnie prawa te mogą podlegać ograniczeniom w zakresie, w jakim ograniczenia te są niezbędne i proporcjonalne do ochrony ważnych celów leżących w ogólnym interesie publicznym.

(74)

Zgodnie z art. 3 ust. 5 PIPA administrator gwarantuje prawa osoby, której dane dotyczą, wymienione w art. 4 PIPA i doprecyzowane w art. 35–37, 39 i 39-2 PIPA.

(75)

Po pierwsze, osoby fizyczne mają prawo do informacji i dostępu. Jeżeli administrator zebrał dane osobowe od strony trzeciej – co zawsze będzie miało miejsce w przypadku przekazywania danych z Unii – osoby, których dane dotyczą, zasadniczo mają prawo do otrzymania informacji na temat 1) „źródła” zebranych danych osobowych (tj. podmiotu przekazującego), 2) celu przetwarzania oraz 3) faktu, że osobie, której dane dotyczą, przysługuje prawo do żądania zawieszenia przetwarzania (art. 20 ust. 1 PIPA). Zastosowanie mają ograniczone wyjątki, mianowicie gdy takie powiadomienie może spowodować szkodę dla życia lub integralności cielesnej innej osoby lub „nieuzasadnione naruszenie interesów majątkowych i innych interesów” innej osoby, jednak wyłącznie w przypadku, gdy te interesy stron trzecich są „w oczywisty sposób nadrzędne” wobec praw osoby, której dane dotyczą (art. 20 ust. 4 pkt 2 PIPA).

(76)

Ponadto art. 35 ust. 1 i 3 PIPA w związku z art. 41 ust. 4 dekretu wykonawczego do PIPA gwarantuje osobom, których dane dotyczą, prawo dostępu do ich danych osobowych (96). Prawo dostępu obejmuje potwierdzenie przetwarzania, informacje na temat rodzaju przetwarzanych danych, celu przetwarzania, okresu zatrzymywania, jak również jakiegokolwiek ujawnienia danych stronie trzeciej oraz przekazania kopii przetwarzanych danych osobowych (art. 4 pkt 3 PIPA w związku z art. 41 ust. 1 dekretu wykonawczego do PIPA) (97). Dostęp może być ograniczony (dostęp częściowy) (98) lub można go odmówić tylko wtedy, gdy przewidziano to w przepisach prawa (99), jeżeli mogłoby to spowodować szkodę dla życia lub integralności cielesnej strony trzeciej lub nieuzasadnione naruszenie interesów majątkowych i innych interesów innej osoby (art. 35 ust. 4 PIPA) (100). To ostatnie oznacza, że należy dokonać wyważenia pomiędzy chronionymi konstytucyjnie prawami i wolnościami osoby fizycznej a prawami i wolnościami innych osób. W przypadku ograniczenia lub odmowy dostępu administrator musi powiadomić osobę, której dane dotyczą, o powodach takiej decyzji oraz o sposobie odwołania się od niej (art. 41 ust. 5 oraz art. 42 ust. 2 dekretu wykonawczego do PIPA).

(77)

Po drugie, osoby, których dane dotyczą, mają prawo do sprostowania lub usunięcia (101) swoich danych osobowych, „chyba że inne ustawy wyraźnie stanowią inaczej” (art. 36 ust. 1 i 2 PIPA) (102). Po otrzymaniu wniosku administrator danych musi niezwłocznie zbadać sprawę, zastosować niezbędne środki (103) i powiadomić o tym w ciągu 10 dni osobę, której dane dotyczą; jeżeli wniosek nie może zostać uwzględniony, ten wymóg powiadomienia obejmuje przyczyny odmowy i sposób odwołania (zob. art. 36 ust. 4 PIPA w związku z art. 43 ust. 3 dekretu wykonawczego do PIPA) (104).

(78)

Ponadto osoby, których dane dotyczą, mają prawo do żądania niezwłocznego zawieszenia przetwarzania ich danych osobowych (105), chyba że zastosowanie ma jeden z konkretnie wyliczonych wyjątków (art. 37 ust. 1 i 2 PIPA) (106). Administrator może odrzucić wniosek 1) jeżeli jest to wyraźnie dozwolone na mocy przepisów prawa lub konieczne („niezbędne”) do wypełnienia zobowiązań prawnych, 2) jeżeli takie zawieszenie mogłoby spowodować szkodę dla życia lub integralności cielesnej strony trzeciej lub nieuzasadnione naruszenie interesów majątkowych i innych interesów innej osoby, 3) jeżeli instytucja publiczna nie mogłaby wykonywać swojej funkcji przewidzianej na mocy przepisów prawa bez przetwarzania informacji lub 4) jeżeli osoba, której dane dotyczą, nie rozwiąże wyraźnie umowy z administratorem, mimo że wykonanie umowy bez takiego przetwarzania danych nie byłoby możliwe. W takim przypadku administrator musi niezwłocznie powiadomić osobę, której dane dotyczą, o przyczynach odmowy i sposobie odwołania (art. 37 ust. 2 PIPA w związku z art. 44 ust. 2 dekretu wykonawczego do PIPA). Zgodnie z art. 37 ust. 4 PIPA w odpowiedzi na wniosek o zawieszenie przetwarzania danych administrator musi niezwłocznie „zastosować niezbędne środki, w tym zniszczyć odpowiednie dane osobowe” (107).

(79)

Prawo do żądania zawieszenia ma również zastosowanie w przypadku, gdy dane osobowe są wykorzystywane do celów marketingu bezpośredniego, tj. w celu promowania towarów lub usług lub nakłaniania do ich zakupu. Ponadto takie dalsze przetwarzanie wymaga na ogół szczegółowej (dodatkowej) zgody osoby, której dane dotyczą (zob. art. 15 ust. 1 pkt 1 oraz art. 17 ust. 2 pkt 1 PIPA) (108). Zwracając się o taką zgodę, administrator musi poinformować osobę, której dane dotyczą, w szczególności o zamierzonym wykorzystaniu danych do celów marketingu bezpośredniego – tj. o możliwości skontaktowania się z nią w celu promowania towarów lub usług lub nakłaniania do ich zakupu – w „wyraźnie rozpoznawalny sposób” (art. 22 ust. 2 i 4 PIPA w związku z art. 17 ust. 2 pkt 1 dekretu wykonawczego do PIPA).

(80)

Aby ułatwić wykonywanie praw indywidualnych, administrator musi ustanowić specjalne procedury i podać je do wiadomości publicznej (art. 38 ust. 4 PIPA) (109). Obejmuje to procedury wnoszenia sprzeciwu wobec odrzucenia wniosku (art. 38 ust. 5 PIPA). Administrator musi dopilnować, by procedura wykonywania praw była „przyjazna dla osoby, której dane dotyczą”, i nie była trudniejsza niż procedura zbierania danych osobowych; obejmuje to również obowiązek umieszczenia informacji na temat tej procedury na stronie internetowej administratora (art. 41 ust. 2, art. 43 ust. 1 i art. 44 ust. 1 dekretu wykonawczego do PIPA) (110). Osoby fizyczne mogą upoważnić przedstawiciela do złożenia takiego wniosku (art. 38 ust. 1 PIPA w związku z art. 45 dekretu wykonawczego do PIPA). Administrator ma prawo nałożyć opłatę (a w przypadku wniosku o przesłanie kopii danych osobowych pocztą – opłatę pocztową), jednak jej wysokość musi być określona „w granicach faktycznych wydatków niezbędnych do rozpatrzenia [wniosku]”; opłaty (ani opłaty pocztowej) nie można nałożyć, jeżeli działania administratora doprowadziły do złożenia wniosku (art. 38 ust. 3 PIPA w związku z art. 47 dekretu wykonawczego do PIPA).

(81)

PIPA i dekret wykonawczy do niej nie zawierają przepisów ogólnych odnoszących się do kwestii decyzji wpływających na osobę, której dane dotyczą, i opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych. Jeżeli jednak chodzi o dane osobowe zebrane w Unii, wszelkie decyzje opierające się na zautomatyzowanym przetwarzaniu podejmowane są zazwyczaj przez administratora w Unii (który ma bezpośrednie powiązanie z zainteresowaną osobą, której dane dotyczą) i podlegają tym samym przepisom rozporządzenia (UE) 2016/679 (111). Obejmuje to scenariusze przekazywania, w których za przetwarzanie odpowiada zagraniczny (np. koreański) podmiot gospodarczy działający w charakterze przedstawiciela (podmiotu przetwarzającego) w imieniu administratora w Unii (lub działający w charakterze podwykonawcy przetwarzania w imieniu unijnego podmiotu przetwarzającego po otrzymaniu danych od unijnego administratora, który je zebrał), który na tej podstawie podejmuje następnie decyzję. Mało prawdopodobne jest zatem, aby fakt, iż PIPA nie zawiera szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji, miał wpływ na stopień ochrony danych osobowych przekazywanych na podstawie niniejszej decyzji.

(82)

W drodze wyjątku przepisy dotyczące przejrzystości na żądanie (art. 20) i praw indywidualnych (art. 35–37), jak również wymóg indywidualnego powiadamiania obowiązujący dostawców usług informacyjnych i komunikacyjnych (art. 39-8 PIPA) nie mają zastosowania w odniesieniu do informacji spseudonimizowanych, jeżeli są one przetwarzane do celów statystycznych, do celów badań naukowych lub do celów archiwalnych w interesie publicznym (art. 28-7 PIPA) (112). Zgodnie z podejściem określonym w art. 11 ust. 2 (w związku z motywem 57) rozporządzenia (UE) 2016/679 jest to uzasadnione faktem, że w celu zapewnienia przejrzystości lub przyznania praw indywidualnych administrator musiałby sprawdzić, czy którekolwiek z danych (a jeśli tak, to które) mają związek z osobą składającą wniosek, co jest wyraźnie zakazane na podstawie PIPA (art. 28-5 ust. 1 PIPA). Ponadto, w przypadku gdy taka ponowna identyfikacja obejmowałaby odwrócenie pseudonimizacji całego (spseudonimizowanego) zbioru danych, doprowadziłoby to do narażenia danych osobowych wszystkich innych osób, których takie dane dotyczą, na zwiększone ryzyko. Podczas gdy rozporządzenie (UE) 2016/679 dotyczy sytuacji, w których ponowna identyfikacja jest praktycznie niemożliwa, w PIPA przyjmuje się bardziej rygorystyczne podejście, polegające na wyraźnym zakazie ponownej identyfikacji we wszystkich sytuacjach, w których przetwarzane są informacje spseudonimizowane.

(83)

System koreański, opisany w motywach (74)–(82), zawiera zatem przepisy dotyczące praw osób, których dane dotyczą, zapewniające stopień ochrony zasadniczo odpowiadający stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(84)

Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii administratorom w Republice Korei nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom z państw trzecich.

(85)

Takie „dalsze przekazywanie danych” stanowi międzynarodowe przekazywanie danych z Republiki Korei z punktu widzenia koreańskiego administratora. W tym zakresie w PIPA rozróżnia się zlecanie usług przetwarzania w ramach outsourcingu dostawcy usług outsourcingowych (tj. podmiotowi przetwarzającemu) i przekazywanie danych osobowych stronom trzecim (113).

(86)

Po pierwsze, jeżeli przetwarzanie danych osobowych zlecane jest w ramach outsourcingu podmiotowi z siedzibą w państwie trzecim, koreański administrator musi zapewnić zgodność z przepisami PIPA dotyczącymi outsourcingu (art. 26 PIPA). Obejmuje to wprowadzenie prawnie wiążącego instrumentu, który m.in. przyczynia się do ograniczenia przetwarzania przez dostawcę usług outsourcingowych do celu tych prac zleconych w ramach outsourcingu, nałożenia zabezpieczeń technicznych i zarządczych oraz ograniczenia podwykonawstwa przetwarzania (zob. art. 26 ust. 1 PIPA); oraz rozpowszechnianie informacji na temat prac zleconych w ramach outsourcingu. Ponadto administrator ma obowiązek przeszkolić dostawcę usług outsourcingowych w zakresie niezbędnych środków bezpieczeństwa i nadzorować, w tym w drodze inspekcji, przestrzeganie wszystkich zobowiązań administratora wynikających z PIPA (114) oraz umowy outsourcingu.

(87)

Jeżeli dostawca usług outsourcingowych wyrządzi szkodę, przetwarzając dane osobowe z naruszeniem przepisów PIPA, zostanie ona przypisana administratorowi do celów przypisania odpowiedzialności, tak jak w przypadku pracowników administratora (art. 26 ust. 6 PIPA). Koreański administrator pozostaje zatem odpowiedzialny za dane osobowe, których przetwarzanie zostało zlecone w ramach outsourcingu, i musi dopilnować, aby zagraniczny podmiot przetwarzający przetwarzał te informacje zgodnie z PIPA. Jeżeli dostawca usług outsourcingowych przetwarza informacje z naruszeniem przepisów PIPA, koreański administrator może zostać pociągnięty do odpowiedzialności za niedopełnienie obowiązku zapewnienia zgodności z PIPA, np. poprzez nadzór nad dostawcą usług outsourcingowych. Zabezpieczenia zawarte w umowie outsourcingu oraz odpowiedzialność koreańskiego administratora za działania dostawcy usług outsourcingowych zapewniają ciągłość ochrony w przypadku zlecenia przetwarzania danych osobowych w ramach outsourcingu podmiotowi spoza Korei.

(88)

Po drugie, koreańscy administratorzy mogą przekazywać dane osobowe stronie trzeciej z siedzibą lub miejscem zamieszkania poza Koreą. Chociaż PIPA zawiera szereg podstaw prawnych umożliwiających ogólne przekazywanie danych stronom trzecim, jeżeli strona trzecia ma siedzibę lub miejsce zamieszkania poza Koreą, administrator zasadniczo (115) musi uzyskać zgodę osoby, której dane dotyczą (116), po przekazaniu jej informacji na temat 1) rodzaju danych osobowych, 2) odbiorcy danych osobowych, 3) celu przekazania danych w rozumieniu celu przetwarzania realizowanego przez odbiorcę, 4) okresu zatrzymywania na potrzeby przetwarzania danych przez odbiorcę, jak również 5) faktu, że osoba, której dane dotyczą, może odmówić wyrażenia zgody (art. 17 ust. 2 i 3 PIPA). W sekcji zawiadomienia nr 2021-5 poświęconej przejrzystości (zob. motyw (70)) wymaga się, aby osoby fizyczne były informowane o państwie trzecim, do którego zostaną przekazane ich dane. Gwarantuje to, że osoby, których dane dotyczą, w Unii mogą podjąć w pełni świadomą decyzję o ewentualnym wyrażeniu zgody na przekazanie danych za granicę. Ponadto administrator nie może zawrzeć umowy ze stroną trzecią będącą odbiorcą z naruszeniem przepisów PIPA, co oznacza, że umowa nie może zawierać zobowiązań, które byłyby sprzeczne z wymogami nałożonymi na administratora w PIPA (117).

(89)

Bez zgody osoby fizycznej dane osobowe można przekazać stronie trzeciej (za granicę), jeżeli cel ujawnienia pozostaje „w zakresie racjonalnie powiązanym” z pierwotnym celem zbierania danych (art. 17 ust. 4 PIPA, zob. motyw (36)). Jednakże przy podejmowaniu decyzji o ewentualnym ujawnieniu danych osobowych w „powiązanym” celu, administrator musi wziąć pod uwagę, czy ujawnienie danych powoduje niedogodności dla osoby fizycznej i czy zastosowano niezbędne środki bezpieczeństwa (np. szyfrowanie). Biorąc pod uwagę fakt, że państwo trzecie, do którego przekazywane są dane osobowe, może nie oferować stopnia ochrony podobnego do tego, jaki przewidziano w PIPA, w sekcji 2 zawiadomienia nr 2021-5 uznano, że takie niedogodności mogą wystąpić i można ich uniknąć tylko wtedy, gdy koreański administrator i odbiorca zagraniczny, w drodze prawnie wiążącego instrumentu (takiego jak umowa), zapewnią stopień ochrony równoważny ze stopniem przewidzianym w PIPA, w tym w odniesieniu do praw osób, których dane dotyczą.

(90)

Przepisy szczególne mają zastosowanie do ujawniania danych „w innym celu”, tj. przekazywania danych stronie trzeciej w nowym (niepowiązanym) celu, co może mieć miejsce wyłącznie w oparciu o jedną z podstaw określonych w art. 18 ust. 2 PIPA, opisanych w motywie (39). Jednak nawet w tych warunkach wyklucza się możliwość przekazania danych stronie trzeciej, jeżeli może to „w sposób nieuzasadniony naruszyć” interesy osoby, której dane dotyczą, lub strony trzeciej, co wymaga wyważenia interesów. Ponadto zgodnie z art. 18 ust. 5 PIPA administrator musi stosować dodatkowe zabezpieczenia, które mogą obejmować żądanie od strony trzeciej ograniczenia celu i metody przetwarzania lub wprowadzenia szczególnych środków bezpieczeństwa. Biorąc również pod uwagę fakt, że państwo trzecie, do którego przekazywane są dane osobowe, może nie oferować stopnia ochrony podobnego do tego, jaki przewidziano w PIPA, w sekcji 2 zawiadomienia nr 2021-5 uznano, że może dojść do takiego „nieuzasadnionego naruszenia” interesów osoby fizycznej lub strony trzeciej i można go uniknąć tylko wtedy, gdy koreański administrator i odbiorca zagraniczny, w drodze prawnie wiążącego instrumentu (takiego jak umowa), zapewnią stopień ochrony równoważny ze stopniem przewidzianym w PIPA, w tym w odniesieniu do praw osób, których dane dotyczą.

(91)

Przepisy zawarte w motywach (86)–(90) zapewniają zatem ciągłość ochrony w przypadku dalszego przekazywania danych osobowych (dostawcy usług outsourcingowych lub stronie trzeciej) z Republiki Korei w sposób zasadniczo odpowiadający temu, który przewidziano w rozporządzeniu (UE) 2016/679.

(92)

Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(93)

Zgodnie z art. 3 ust. 6 i 8 PIPA administrator musi przetwarzać dane osobowe „w sposób minimalizujący możliwość naruszenia” prywatności osoby, której dane dotyczą, oraz stara się zyskać zaufanie osoby, której dane dotyczą, wykonując zadania i wypełniając obowiązki przewidziane w PIPA i innych powiązanych ustawach. Obejmuje to ustanowienie planu zarządzania wewnętrznego (art. 29 PIPA), jak również odpowiednie szkolenia i nadzór nad pracownikami (art. 28 PIPA).

(94)

Aby zagwarantować rozliczalność, w art. 31 PIPA w związku z art. 32 dekretu wykonawczego do PIPA nałożono na administratorów obowiązek wyznaczenia urzędnika ds. ochrony prywatności, który „w sposób kompleksowy odpowiada za przetwarzanie danych osobowych”. Taki urzędnik ds. ochrony prywatności wykonuje w szczególności następujące zadania: 1) ustanawia i wdraża plan ochrony danych osobowych oraz opracowuje politykę prywatności, 2) przeprowadza regularne badania dotyczące stanu i praktyk przetwarzania danych osobowych w celu usunięcia ewentualnych niedociągnięć, 3) rozpatruje skargi i zajmuje się odszkodowaniami, 4) ustanawia system kontroli wewnętrznej w celu zapobiegania ujawnianiu i wykorzystywaniu danych osobowych niezgodnie z przeznaczeniem, 5) przygotowuje i wdraża program szkolenia, 6) chroni i kontroluje zbiory danych osobowych oraz zarządza nimi oraz 7) niszczy dane osobowe po osiągnięciu celu przetwarzania lub po upływie okresu zatrzymywania. Wykonując te zadania, urzędnik ds. ochrony prywatności może kontrolować stan przetwarzania danych osobowych i powiązanych systemów oraz może żądać informacji na ten temat (art. 31 ust. 3 PIPA). Jeżeli urzędnik ds. ochrony prywatności dowie się o jakimkolwiek naruszeniu PIPA lub innych odpowiednich ustaw o ochronie danych, niezwłocznie podejmuje działania naprawcze i w razie potrzeby zgłasza takie działania kierownictwu („kierownikowi”) administratora (art. 31 ust. 4 PIPA). Zgodnie z art. 31 ust. 5 PIPA urzędnik ds. ochrony prywatności nie może być narażony na nieuzasadnione niedogodności wynikające z wykonywania tych zadań.

(95)

Ponadto administratorzy muszą aktywnie dążyć do przeprowadzenia oceny wpływu na prywatność, w przypadku gdy obsługa zbiorów danych osobowych wiąże się z ryzykiem naruszenia prywatności (art. 33 ust. 8 PIPA). Zgodnie z art. 33 ust. 1 i 2 PIPA w związku z art. 35, 36 i 38 dekretu wykonawczego do PIPA czynniki takie jak rodzaj i charakter przetwarzanych danych (w szczególności to, czy stanowią one informacje szczególnie chronione), ich ilość, okres zatrzymywania oraz prawdopodobieństwo naruszenia ochrony danych będą istotne dla oceny stopnia ryzyka naruszenia praw osób, których dane dotyczą. Celem oceny wpływu na prywatność jest zapewnienie analizy czynników ryzyka naruszenia prywatności, jak również wszelkich środków bezpieczeństwa lub innych środków zaradczych, oraz wskazanie kwestii wymagających poprawy (zob. art. 33 ust. 1 PIPA w związku z art. 38 dekretu wykonawczego do PIPA).

(96)

Instytucje publiczne są zobowiązane do przeprowadzenia oceny skutków w przypadku przetwarzania niektórych zbiorów danych osobowych, które mogą stwarzać większe ryzyko naruszenia prywatności (art. 33 ust. 1 PIPA). Zgodnie z art. 35 dekretu wykonawczego do PIPA dotyczy to m.in. zbiorów, które zawierają informacje szczególnie chronione na temat co najmniej 50 000 osób, których dane dotyczą, zbiorów, które będą łączone z innymi zbiorami, w wyniku czego będą zawierać informacje na temat co najmniej 500 000 takich osób, lub zbiorów, które zawierają informacje na temat co najmniej miliona takich osób. Wynik oceny skutków przeprowadzonej przez instytucję publiczną musi zostać zakomunikowany PIPC (zgodnie z art. 33 ust. 1 PIPA), która może wydać opinię (zgodnie z art. 33 ust. 3 PIPA).

(97)

Ponadto art. 13 PIPA stanowi, że PIPC ustanawia polityki niezbędne do promowania i wspierania „samoregulacyjnych działań w zakresie ochrony danych” administratorów, m.in. za sprawą edukacji w zakresie ochrony danych, promowania i wspierania organizacji zajmujących się ochroną danych oraz pomocy administratorom w ustanawianiu i wdrażaniu zasad samoregulacji. Co więcej, ma ona wprowadzić system ePRIVACY i ułatwiać jego działanie. W tym zakresie art. 32-2 PIPA w związku z art. 34-2–34-8 dekretu wykonawczego do PIPA przewiduje możliwość certyfikacji, że system(y) przetwarzania i ochrony danych osobowych administratora spełniają wymogi ustanowione w PIPA. Zgodnie z tymi zasadami certyfikacja (118) może zostać przyznana (na okres 3 lat), jeśli administrator spełnia kryteria certyfikacji ustalone przez PIPC, obejmujące ustanowienie zabezpieczeń zarządczych, technicznych i fizycznych w celu ochrony danych osobowych (119). Co najmniej raz w roku PIPC musi zbadać systemy administratora istotne dla certyfikacji, aby zapewnić utrzymanie ich skuteczności, co może prowadzić do cofnięcia certyfikacji (art. 32 ust. 4 PIPA w związku z art. 34-5 dekretu wykonawczego do PIPA; tzw. „zarządzanie następcze”).

(98)

W koreańskim systemie wdrożono zatem zasadę rozliczalności w sposób gwarantujący stopień ochrony zasadniczo odpowiadający stopniowi ochrony zapewnionemu w rozporządzeniu (UE) 2016/679, dzięki przewidzeniu różnych mechanizmów zapewniających i wykazujących zgodność z PIPA.

(99)

Jak opisano w motywie (13), w CIA określono szczegółowe przepisy odnoszące się do przetwarzania informacji dotyczących kredytów osobistych przez podmioty handlowe. Przetwarzając informacje dotyczące kredytów osobistych, podmioty handlowe muszą zatem spełniać ogólne wymogi przewidziane w PIPA, chyba że CIA zawiera bardziej szczegółowe przepisy. Będzie to miało na przykład miejsce w przypadku przetwarzania przez nie informacji związanych z kartą kredytową lub rachunkiem bankowym w kontekście transakcji handlowej z osobą fizyczną. Jako prawodawstwo sektorowe dotyczące przetwarzania danych kredytowych (zarówno osobowych, jak i nieosobowych) CIA nie tylko nakazuje określone zabezpieczenia służące ochronie danych (na przykład w odniesieniu do przejrzystości i bezpieczeństwa), ale również bardziej ogólnie reguluje konkretne okoliczności, w których informacje dotyczące kredytów osobistych mogą być przetwarzane. Znajduje to w szczególności odzwierciedlenie w szczegółowych wymogach dotyczących wykorzystywania, przekazywania stronie trzeciej oraz zatrzymywania takich danych.

(100)

Podobnie jak w PIPA w CIA odzwierciedlono zasadę zgodności z prawem i proporcjonalności. Po pierwsze, jako wymóg ogólny, art. 15 ust. 1 CIA zezwala na zbieranie informacji dotyczących kredytów osobistych wyłącznie przy użyciu zasadnych i uczciwych środków oraz w najmniejszym zakresie niezbędnym do osiągnięcia określonego celu, zgodnie z art. 3 ust. 1–2 PIPA. Po drugie, w CIA uregulowano w sposób wyraźny zgodność z prawem przetwarzania informacji dotyczących kredytów osobistych, ograniczając zbieranie, wykorzystywanie i przekazywanie takich informacji stronie trzeciej oraz ogólnie wprowadzając wymóg uzyskania zgody osoby zainteresowanej przed przeprowadzeniem takich czynności przetwarzania.

(101)

Informacje dotyczące kredytów osobistych mogą być zbierane w oparciu o jedną z podstaw przewidzianych w PIPA lub o szczególne podstawy określone w CIA. Biorąc pod uwagę, że art. 45 rozporządzenia (UE) 2016/679 zakłada przekazanie danych osobowych przez administratora lub podmiot przetwarzający w Unii, ale nie obejmuje bezpośredniego zbierania (np. od osoby fizycznej lub ze strony internetowej) przez administratora w Korei, w kontekście niniejszej decyzji istotne są wyłącznie zgoda i podstawy dostępne na mocy PIPA. Podstawy te obejmują w szczególności sytuacje, w których przekazanie danych jest konieczne do wykonania umowy z osobą fizyczną lub do celów wynikających z prawnie uzasadnionych interesów koreańskiego administratora (art. 15 ust. 1 pkt 4 i 6 PIPA) (120).

(102)

Zebrane informacje dotyczące kredytów osobistych mogą być wykorzystywane 1) do pierwotnego celu, w którym zostały (bezpośrednio) przekazane przez osobę fizyczną (121); 2) do celu, który jest zgodny z pierwotnym celem zbierania danych (122); 3) do ustalenia, czy należy ustanowić lub utrzymać stosunek handlowy, o który wnosi osoba fizyczna (123); 4) do celów statystycznych, do celów badań naukowych i do celów archiwalnych w interesie publicznym (124), jeżeli informacje te zostały spseudonimizowane (125); 5) jeżeli uzyskano dalszą zgodę lub 6) zgodnie z przepisami prawa.

(103)

Jeśli podmiot handlowy zamierza ujawnić stronie trzeciej informacje dotyczące kredytów osobistych, musi uzyskać zgodę zainteresowanej osoby fizycznej (126) po poinformowaniu jej o odbiorcy informacji, celu ich przetwarzania przez odbiorcę, szczegółach informacji, które mają zostać przekazane, okresie ich przechowywania przez odbiorcę oraz prawie do odmowy wyrażenia zgody (art. 32 ust. 1 CIA i art. 28 ust. 2 dekretu wykonawczego do CIA) (127). Ten wymóg uzyskania zgody nie ma zastosowania w szczególnych sytuacjach, mianowicie gdy informacje dotyczące kredytów osobistych są ujawniane (128): 1) dostawcy usług outsourcingowych w celach outsourcingu (129); 2) stronie trzeciej w przypadku przeniesienia własności przedsiębiorstwa, podziału lub fuzji; 3) do celów statystycznych, do celów badań naukowych i do celów archiwalnych w interesie publicznym, jeżeli informacje zostały spseudonimizowane; 4) w celu, który jest zgodny z pierwotnym celem zbierania; 5) stronie trzeciej, która wykorzystuje informacje do odzyskania należnego długu od osoby fizycznej (130); 6) w celu zastosowania się do orzeczenia sądowego; 7) prokuratorowi lub urzędnikowi policji sądowej w nagłych przypadkach, gdy życie osoby fizycznej jest zagrożone lub gdy spodziewane jest naruszenie jej integralności cielesnej, a nie ma czasu na wydanie nakazu sądowego (131); 8) właściwym organom podatkowym, w celu zastosowania się do przepisów podatkowych lub 9) zgodnie z innymi przepisami prawa. W przypadku ujawnienia danych na jednej z tych podstaw osoba, której dane dotyczą, musi zostać o tym uprzednio poinformowana (art. 32 ust. 7 CIA).

(104)

W CIA uregulowano również w sposób wyraźny okres przetwarzania informacji dotyczących kredytów osobistych w oparciu o jedną z tych podstaw w celu wykorzystania lub przekazania stronie trzeciej po zakończeniu stosunku handlowego z osobą fizyczną (132). Zatrzymywane mogą być jedynie informacje, które były niezbędne do nawiązania lub utrzymania tego stosunku, z zastrzeżeniem dodatkowych zabezpieczeń (muszą być przechowywane oddzielnie od informacji dotyczących kredytów osobistych, które dotyczą osób fizycznych, z którymi nadal utrzymywane są stosunki handlowe, i muszą być chronione specjalnymi środkami bezpieczeństwa oraz dostępne wyłącznie dla osób upoważnionych) (133). Wszystkie pozostałe dane muszą zostać usunięte (art. 17-2 ust. 1 pkt 2 dekretu wykonawczego do CIA). Aby określić, które dane były niezbędne do nawiązania stosunków handlowych, należy wziąć pod uwagę różne czynniki, w tym to, czy możliwe byłoby nawiązanie stosunków bez tych danych oraz czy odnoszą się one bezpośrednio do towarów dostarczanych lub usług świadczonych na rzecz osoby fizycznej (art. 17-2 ust. 2 dekretu wykonawczego do CIA).

(105)

Nawet w przypadkach gdy informacje dotyczące kredytów osobistych mogą z zasady być przechowywane po zakończeniu stosunków handlowych, muszą one zostać usunięte w ciągu trzech miesięcy po osiągnięciu dalszego celu przetwarzania (134) lub po pięciu latach w każdym innym przypadku (art. 20-2 CIA). W ograniczonej liczbie przypadków informacje dotyczące kredytów osobistych mogą być przechowywanie przez okres dłuższy niż pięć lat, w szczególności, w stosownych przypadkach, na potrzeby wypełnienia zobowiązania prawnego; w stosownych przypadkach do celów ochrony żywotnych interesów związanych z życiem, integralnością cielesną lub majątkiem osoby fizycznej; do archiwizacji informacji spseudonimizowanych (które były wykorzystywane do celów badań naukowych, do celów statystycznych lub do celów archiwalnych w interesie publicznym) lub do celów ubezpieczeniowych (szczególnie wypłat z tytułu ubezpieczeń lub aby zapobiec nadużyciom finansowym w dziedzinie ubezpieczeń) (135). W tych wyjątkowych przypadkach mają zastosowanie szczególne zabezpieczenia (takie jak powiadomienie osoby fizycznej o dalszym wykorzystaniu, oddzielenie zatrzymanych informacji od informacji odnoszących się do osób fizycznych, z którymi nadal utrzymuje się stosunki handlowe, ograniczenie praw dostępu, zob. art. 17-2 ust. 1–2 dekretu wykonawczego do CIA).

(106)

W CIA doprecyzowano również zasady prawidłowości i jakości danych, zawierając w niej wymóg, aby informacje dotyczące kredytów osobistych były „rejestrowane, modyfikowane i zarządzane” w celu zachowania ich prawidłowości i aktualności (art. 18 ust. 1 CIA i art. 15 ust. 3 dekretu wykonawczego do CIA) (136). Udostępniając informacje dotyczące kredytów niektórym innym podmiotom (takim jak agencje ratingowe), podmioty handlowe są również zobowiązane w szczególności do sprawdzania prawidłowości informacji, aby zapewnić rejestrowanie przez odbiorcę wyłącznie prawidłowych informacji i zarządzanie wyłącznie prawidłowymi informacjami (art. 15 ust. 1 dekretu wykonawczego do CIA w związku z art. 18 ust. 1 CIA). Ogólnie rzecz ujmując, w CIA wymaga się prowadzenia rejestrów dotyczących zbierania, wykorzystywania, ujawniania stronie trzeciej i niszczenia informacji dotyczących kredytów osobistych (art. 20 ust. 2 CIA) (137).

(107)

Ponadto przetwarzanie informacji dotyczących kredytów osobistych podlega szczegółowym wymogom w zakresie bezpieczeństwa danych. W szczególności CIA wymaga wdrożenia środków technologicznych, fizycznych i organizacyjnych, aby zapobiec bezprawnemu dostępowi do systemów komputerowych, jak również zmianom, zniszczeniu lub dowolnemu innemu zagrożeniu dla przetwarzanych danych (na przykład poprzez kontrole dostępu, zob. art. 19 CIA i art. 16 dekretu wykonawczego do CIA). Ponadto przy wymianie informacji dotyczących kredytów osobistych ze stroną trzecią konieczne jest zawarcie umowy określającej szczególne środki bezpieczeństwa (art. 19 ust. 2 CIA). W przypadku wystąpienia naruszenia informacji dotyczących kredytów osobistych, należy niezwłocznie poinformować osoby fizyczne, których to dotyczy, a także wdrożyć środki minimalizujące szkody (art. 39-4 ust. 1–2 CIA). Ponadto o powiadomieniu osób fizycznych oraz o środkach, które zostały wdrożone, należy poinformować PIPC (art. 39-4 ust. 4 CIA).

(108)

W CIA nałożono również szczególne obowiązki w zakresie przejrzystości przy uzyskiwaniu zgody na wykorzystanie lub przekazanie informacji dotyczących kredytów osobistych (art. 32 ust. 4 i art. 34-2 CIA oraz art. 30-3 dekretu wykonawczego do CIA) oraz, bardziej ogólnie, przed przekazaniem informacji stronie trzeciej (art. 32 ust. 7 CIA) (138). Ponadto na wniosek osoby fizyczne mają prawo do uzyskania informacji na temat wykorzystania i przekazania ich informacji dotyczących kredytów stronom trzecim w okresie obejmującym trzy lata poprzedzające wniosek (w tym cel i daty takiego wykorzystania lub przekazania) (139).

(109)

W ramach CIA osoby fizyczne mają również prawo dostępu do swoich informacji dotyczących kredytów osobistych (art. 38 ust. 1 CIA) i do uzyskania korekty nieprawidłowych danych (art. 38 ust. 2–3 CIA) (140). Ponadto, oprócz ogólnego prawa do usunięcia danych na mocy PIPA (zob. motyw (77)), CIA przewiduje szczególne prawo do usunięcia informacji dotyczących kredytów osobistych, które to informacje są zatrzymywane po upływie okresów zatrzymania wymienionych w motywie (104), tj. pięciu lat (w przypadku informacji dotyczących kredytów osobistych, które były niezbędne do nawiązania lub utrzymania stosunków handlowych) lub trzech miesięcy (w przypadku innych rodzajów informacji dotyczących kredytów osobistych) (141). Wniosek o usunięcie danych może zostać wyjątkowo odrzucony, gdy dalsze zatrzymywanie jest niezbędne – w okolicznościach opisanych w motywie (105). W przypadku gdy osoba fizyczna wnioskuje o usunięcie danych, ale zastosowanie ma jeden z wyjątków, w odniesieniu do informacji dotyczących kredytów osobistych należy zastosować szczególne zabezpieczenia (art. 38-3 ust. 3 CIA i art. 33-3 dekretu wykonawczego do CIA). Na przykład informacje te muszą być przechowywane oddzielnie od innych informacji, dostęp do nich może mieć tylko upoważniona osoba oraz muszą podlegać szczególnym środkom bezpieczeństwa.

(110)

Oprócz praw wspomnianych w motywie (109) CIA gwarantuje osobom fizycznym prawo do wystąpienia do administratora o zaprzestanie kontaktów w celu marketingu bezpośredniego (art. 37 ust. 2 ustawy) oraz prawo do przenoszenia danych. Jeśli chodzi o to ostatnie, CIA umożliwia osobom fizycznym wystąpienie z wnioskiem o przekazanie informacji dotyczących ich kredytów osobistych im lub pewnym stronom trzecim (takim jak instytucje finansowe i agencje ratingowe). Informacje dotyczące kredytów osobistych muszą być przetwarzane i przekazane stronie trzeciej w formacie umożliwiającym przetwarzanie przez urządzenie przetwarzające informacje (takie jak komputer).

(111)

W zakresie, w jakim CIA zawiera przepisy szczególne w porównaniu z PIPA, Komisja uważa, że również te przepisy zapewniają stopień ochrony zasadniczo odpowiadający stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(112)

W celu zapewnienia odpowiedniego stopnia ochrony danych w praktyce, należy ustanowić niezależny organ nadzorczy, któremu powierzone zostaną uprawnienia do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. Wykonując swoje obowiązki i uprawnienia, organ ten działa całkowicie niezależnie i bezstronnie.

(113)

W Republice Korei niezależnym organem odpowiedzialnym za monitoring i egzekwowanie przepisów PIPA jest Komisja Ochrony Danych Osobowych („PIPC”). PIPC składa się z przewodniczącego, wiceprzewodniczącego i siedmiu komisarzy. Przewodniczący i wiceprzewodniczący są powoływani przez prezydenta, na wniosek premiera. Dwóch spośród Komisarzy prezydent powołuje na wniosek przewodniczącego, a pięciu na wniosek Zgromadzenia Narodowego (z czego dwóch na wniosek partii politycznej, do której należy prezydent, a trzech na wniosek pozostałych partii politycznych (art. 7-2 ust. 2 PIPA), co pomaga przeciwdziałać stronniczości w procesie powoływania) (142). Procedura ta jest zgodna z wymogami mającymi zastosowanie do powoływania członków organów ochrony danych w Unii (art. 53 ust. 1 rozporządzenia (UE) 2016/679). Ponadto wszyscy komisarze muszą zaniechać prowadzenia działalności gospodarczej nastawionej na zysk i działalności politycznej oraz powstrzymać się od zajmowania stanowisk w administracji publicznej lub Zgromadzeniu Narodowym (art. 7-6 i art. 7-7 ust. 1 pkt 3 PIPA) (143). Wszyscy komisarze podlegają przepisom szczególnym uniemożliwiającym im udział w obradach w przypadku ewentualnego konfliktu interesów (art. 7-11 PIPA). Komisję wspomaga sekretariat (art. 7-13) i może ona powoływać podkomisje (składające się z trzech komisarzy) do rozpatrywania drobnych naruszeń i powtarzających się spraw (art. 7-12 PIPA).

(114)

Każdy z członków PIPC jest mianowany na okres trzech lat i może być raz powołany na kolejną kadencję (art. 7-4 ust. 1 PIPA). Komisarze mogą zostać odwołani tylko w szczególnych okolicznościach, a mianowicie jeśli nie są w stanie dłużej wykonywać swoich obowiązków z powodu długotrwałej niepełnosprawności intelektualnej lub fizycznej, działają z naruszeniem prawa lub spełniają jedną z podstaw do pozbawienia urzędu (144) (art. 7-5 PIPA). To zapewnia im ochronę instytucjonalną w wykonywaniu ich funkcji.

(115)

Ogólniej rzecz ujmując, art. 7 ust. 1 PIPA wyraźnie gwarantuje niezależność PIPC, natomiast art. 7-5 ust. 2 PIPA wymaga od komisarzy wykonywania obowiązków w sposób niezależny, zgodny z prawem oraz sumieniem (145). Opisane zabezpieczenia instytucjonalne i proceduralne, w tym w odniesieniu do powoływania i odwoływania członków PIPC, zapewniają, że działa ona w pełni niezależnie od zewnętrznych wpływów lub instrukcji. Ponadto PIPC, jako centralna agencja administracyjna, co roku przedkłada wniosek w sprawie własnego budżetu (którego przeglądu dokonuje Ministerstwo Finansów w ramach ogólnego budżetu krajowego przed jego przyjęciem przez Zgromadzenie Narodowe) i samodzielnie odpowiada za zarządzanie własnym personelem. PIPC dysponuje obecnie budżetem w wysokości około 35 mln euro i personelem w liczbie 154 osób (w tym 40 pracownikami specjalizującymi się w technologii informacyjno-komunikacyjnej, 32 pracownikami zajmującymi się prowadzeniem dochodzeń i 40 prawnikami).

(116)

Zadania i uprawnienia PIPC są określone głównie w art. 7-8 oraz 7-9, a także w art. 61–66 PIPA (146). Do zadań PIPC należy w szczególności doradzanie w kwestii przepisów ustawowych i wykonawczych związanych z ochroną danych, opracowywanie polityk i wytycznych w zakresie ochrony danych, prowadzenie postępowań wyjaśniających w sprawach naruszeń praw indywidualnych, rozpatrywanie skarg i mediacja w sporach, egzekwowanie przestrzegania PIPA, zapewnienie edukacji i promocji w zakresie ochrony danych oraz wymiana informacji i współpraca z organami ochrony danych państw trzecich (147).

(117)

Na podstawie art. 68 PIPA w związku z art. 62 dekretu wykonawczego do PIPA niektóre zadania PIPC zostały przekazane Koreańskiej Agencji ds. Internetu i Bezpieczeństwa, a mianowicie: 1) edukacja i public relations, 2) szkolenie specjalistów i opracowywanie kryteriów oceny wpływu na prywatność, 3) rozpatrywanie wniosków o wyznaczenie tzw. instytucji ds. oceny wpływu na prywatność, 4) rozpatrywanie wniosków pośredniego dostępu do danych osobowych znajdujących się w posiadaniu organów publicznych (art. 35 ust. 2 PIPA) oraz 5) zadanie zwracania się o materiały i przeprowadzania kontroli w odniesieniu do skarg otrzymywanych za pośrednictwem centrum telefonicznego ds. prywatności. W kontekście rozpatrywania skarg za pośrednictwem centrum telefonicznego ds. prywatności Koreańska Agencja ds. Internetu i Bezpieczeństwa przekazuje sprawę do PIPC lub do prokuratury, jeśli stwierdzi, że doszło do naruszenia prawa. Możliwość wniesienia skargi do centrum telefonicznego ds. prywatności nie wyklucza możliwości wniesienia skargi przez osobę fizyczną bezpośrednio do PIPC lub zwrócenia się do PIPC w przypadku uznania, że skarga nie została odpowiednio rozpatrzona przez Koreańską Agencje ds. Internetu i Bezpieczeństwa.

(118)

W celu zapewnienia zgodności z PIPA prawodawca przyznał PIPC zarówno uprawnienia dochodzeniowe, jak i wykonawcze, od zaleceń do administracyjnych kar pieniężnych. Uprawnienia te są uzupełnione systemem sankcji karnych.

(119)

Jeśli chodzi o uprawnienia dochodzeniowe, w przypadku podejrzenia lub zgłoszenia naruszenia PIPA lub, w stosownych przypadkach, na potrzeby ochrony praw osób, których dane dotyczą, przed naruszeniami, PIPC może przeprowadzać kontrole na miejscu i zażądać od administratorów danych osobowych wszelkich istotnych materiałów (takich jak statuty i dokumenty) (art. 63 PIPA w związku z art. 60 dekretu wykonawczego do PIPA) (148).

(120)

W zakresie egzekwowania prawa zgodnie z art. 61 ust. 2 PIPA PIPC może wydawać zalecenia dla administratorów danych osobowych dotyczące sposobu poprawienia stopnia ochrony danych osobowych w ramach określonych czynności przetwarzania. Administratorzy danych osobowych muszą w dobrej wierze dokładać wszelkich starań zmierzających do zastosowania się do tych zaleceń i są zobowiązani do informowania PIPC o rezultacie tych starań. Ponadto, jeżeli istnieją uzasadnione podstawy do uznania, że doszło do naruszenia PIPA, a niepodjęcie działań może spowodować trudną do naprawienia szkodę, PIPC może nakazać podjęcie działań naprawczych (art. 64 ust. 1 PIPA) (149). W sekcji 5 zawiadomienia nr 2021-5 (załącznik I) wyjaśniono ze skutkiem wiążącym, że warunki te są spełnione w odniesieniu do naruszenia każdego przepisu PIPA, który chroni prawo do prywatności osób fizycznych w zakresie danych osobowych (150). Środki, do wprowadzenia których uprawniona jest PIPC, obejmują nakazanie zaprzestania działań powodujących naruszenie, tymczasowe zawieszenie przetwarzania danych lub wszelkie inne niezbędne środki. Niepodjęcie działania naprawczego może skutkować nałożeniem sankcji w postaci kary pieniężnej w wysokości do 50 mln wonów (art. 75 ust. 2 pkt 13 PIPA).

(121)

W odniesieniu do niektórych organów publicznych (takich jak Zgromadzenie Narodowe, agencje administracji centralnej, organy samorządu terytorialnego i sądy) art. 64 ust. 4 PIPA stanowi, że PIPC może „zalecić” dowolne działanie naprawcze wspomniane w motywie (120) oraz że organy te są zobowiązane do zastosowania się do takiego zalecenia, chyba że zachodzą nadzwyczajne okoliczności. Zgodnie z sekcją 5 zawiadomienia nr 2021-5 odnosi się to do nadzwyczajnych okoliczności faktycznych lub prawnych, o których PIPC nie wiedziała w chwili wydawania zalecenia. Dany organ publiczny może powołać się na takie nadzwyczajne okoliczności wyłącznie wówczas, gdy wyraźnie wykaże, że nie doszło do naruszenia prawa, a PIPC stwierdzi, że tak rzeczywiście jest. W przeciwnym razie organ publiczny musi zastosować się do zalecenia PIPC, a więc jest zobowiązany do „podjęcia działania naprawczego, w tym do natychmiastowego zaprzestania danej czynności, a w wyjątkowym przypadku także do wypłacenia odszkodowania za szkody, jeżeli mimo wszystko doszło do popełnienia czynu niezgodnego z prawem”.

(122)

PIPC może również zwrócić się do innych agencji administracyjnych właściwych w konkretnych dziedzinach na podstawie ustawodawstwa sektorowego (np. zdrowie, edukacja) o przeprowadzenie dochodzenia – osobno lub wspólnie z PIPC – w sprawie (podejrzewanego) naruszenia prywatności przez administratorów prowadzących działalność w dziedzinach wchodzących w zakres kompetencji takich agencji oraz o nakazanie podjęcia działań naprawczych (art. 63 ust. 4–5 PIPA). W takim przypadku PIPC określa podstawy, przedmiot i zakres takiego dochodzenia (151). Z kolei właściwa agencja administracyjna musi przedłożyć PIPC plan kontroli i poinformować PIPC o jej wyniku. PIPC może zalecić podjęcie konkretnego działania naprawczego, a właściwa agencja musi podjąć starania w celu jego wdrożenia. Taki wniosek w żadnym wypadku nie ogranicza kompetencji PIPC do przeprowadzenia własnego dochodzenia lub nałożenia sankcji.

(123)

Oprócz uprawnień naprawczych PIPC może nakładać administracyjne kary pieniężne w wysokości od 10 do 50 mln wonów za naruszenie różnych wymogów PIPA (art. 75 PIPA) (152). Dotyczy to m.in. nieprzestrzegania wymogów w zakresie zgodnego z prawem przetwarzania informacji, niewprowadzenia niezbędnych środków bezpieczeństwa, niepowiadomienia osób, których dane dotyczą, w przypadku naruszenia ochrony danych, nieprzestrzegania wymogów dotyczących podwykonawstwa przetwarzania, braku ustanowienia i ujawnienia polityki prywatności, niewyznaczenia urzędnika ds. ochrony prywatności lub niepodjęcia działań na wniosek osoby, której dane dotyczą, w ramach wykonywania jej praw indywidualnych, a także niektórych naruszeń zasad proceduralnych (brak współpracy podczas dochodzenia). W przypadku naruszenia szeregu przepisów PIPA przez tego samego administratora kara finansowa może zostać nałożona za każde z naruszeń, a przy ustalaniu wysokości kary zostanie wzięta pod uwagę liczba osób fizycznych, na których te naruszenia mają wpływ.

(124)

Ponadto, jeżeli istnieją uzasadnione podstawy, by podejrzewać naruszenie PIPA lub innych „ustaw związanych z ochroną danych”, PIPC może złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa do właściwego organu ścigania (takiego jak prokurator, zob. art. 65 ust. 1 PIPA). Ponadto PIPC może zalecić administratorowi zastosowanie środków dyscyplinarnych wobec osoby odpowiedzialnej (w tym odpowiedzialnego kierownika, zob. art. 65 ust. 2 PIPA). Po otrzymaniu takiego zalecenia administrator musi się do niego (153) zastosować i powiadomić na piśmie PIPC o wyniku podjętych działań (art. 65 PIPA w związku z art. 58 dekretu wykonawczego do PIPA).

(125)

W odniesieniu do zaleceń, o których mowa w art. 61, działań naprawczych na podstawie art. 64, zarzutów lub zalecenia w sprawie środków dyscyplinarnych na podstawie art. 65 oraz nałożenia administracyjnych kar pieniężnych na podstawie art. 75 PIPA PIPC może podać odnośne fakty do publicznej wiadomości – tj. wskazać naruszenie, podmiot, który naruszył prawo, oraz nałożony środek lub środki – w drodze opublikowania ich na stronie internetowej lub w ogólnokrajowym dzienniku (art. 66 PIPA w związku z art. 61 ust. 1 dekretu wykonawczego do PIPA) (154).

(126)

Zgodność z wymogami ochrony danych określonymi w PIPA (jak również innych „ustawach związanych z ochroną danych”) jest wspierana przez system sankcji karnych. W tym zakresie art. 70–73 PIPA zawierają przepisy dotyczące kar pieniężnych, które mogą prowadzić do nałożenia grzywny (od 20 do 100 mln wonów) lub kary pozbawienia wolności (w maksymalnym wymiarze od 2 do 10 lat). Do istotnych naruszeń zalicza się m.in. wykorzystanie danych osobowych lub przekazanie ich stronie trzeciej bez wymaganej zgody, przetwarzanie informacji szczególnie chronionych wbrew zakazowi określonemu w art. 23 ust. 1 PIPA, nieprzestrzeganie obowiązujących wymogów bezpieczeństwa skutkujące utratą, kradzieżą, ujawnieniem, podrobieniem, przerobieniem lub uszkodzeniem danych osobowych, niewprowadzenie niezbędnych środków w celu skorygowania, usunięcia lub zawieszenia danych osobowych lub bezprawne przekazanie danych osobowych do państwa trzeciego (155). Zgodnie z art. 74 PIPA w każdym z tych przypadków odpowiedzialność ponosi pracownik, agent lub przedstawiciel administratora, jak również sam administrator (156).

(127)

Poza sankcjami karnymi przewidzianymi w PIPA, zgodnie z kodeksem karnym wykorzystanie danych osobowych niezgodnie z przeznaczeniem może również stanowić przestępstwo. Ma to miejsce w szczególności w przypadku naruszenia tajemnicy pism, dokumentów lub dokumentacji elektronicznej (art. 316), ujawnienia informacji objętych tajemnicą zawodową (art. 317), oszustwa z wykorzystaniem komputera (art. 347-2), a także sprzeniewierzenia i naruszenia obowiązków powiernika (art. 355).

(128)

Koreański system łączy zatem różne rodzaje sankcji, od działań naprawczych i administracyjnych kar pieniężnych po sankcje karne, które prawdopodobnie będą miały szczególnie silny efekt odstraszający dla administratorów i osób fizycznych zarządzających danymi. PIPC zaczęła korzystać ze swoich uprawnień natychmiast po jej ustanowieniu w 2020 r. Z rocznego sprawozdania PIPC za 2021 r. wynika, że PIPC już wydała szereg zaleceń i nakazów podjęcia działań naprawczych oraz nałożyła szereg administracyjnych kar finansowych, zarówno wobec sektora publicznego (około 34 organów publicznych), jak i podmiotów prywatnych (około 140 przedsiębiorstw) (157). Istotne przykłady to nałożenie na przedsiębiorstwo kary pieniężnej w wysokości 6,7 mld wonów w grudniu 2020 r. za naruszenie różnych przepisów PIPA (w tym wymogów bezpieczeństwa, wymogów dotyczących zgody na przekazywanie danych stronie trzeciej oraz przejrzystości) (158) oraz kary pieniężnej w wysokości 103,3 mln wonów w kwietniu 2021 r. na przedsiębiorstwo z sektora technologii sztucznej inteligencji (za naruszenie m.in. przepisów dotyczących zgodności przetwarzania danych z prawem, w szczególności w odniesieniu do zgody, oraz przetwarzania informacji spseudonimizowanych) (159). W sierpniu 2021 r. PIPC zakończyła kolejne dochodzenie, dotyczące działalności trzech przedsiębiorstw, w wyniku którego nakazano działania naprawcze i nałożono kary pieniężne w wysokości do 6,47 mld wonów (między innymi za niepoinformowanie osób fizycznych o ujawnieniu danych osobowych osobom trzecim, w tym o przekazaniu danych do państw trzecich) (160). Ponadto już przed niedawną reformą Korea Południowa miała udokumentowaną historię skutecznego egzekwowania przepisów, a jej właściwe organy w pełni wykorzystywały środki przymusu, takie jak administracyjne kary pieniężne, nakaz podjęcia działań naprawczych oraz publiczne ujawnianie sprawców, w odniesieniu do różnych administratorów, takich jak dostawcy usług komunikacyjnych (Koreańska Komisja Telekomunikacyjna, ang. Korea Communications Commission), jak również podmiotów handlowych, instytucji finansowych, organów publicznych, uniwersytetów i szpitali (Ministerstwo Spraw Wewnętrznych i Bezpieczeństwa) (161). Na tej podstawie Komisja uznaje, że koreański system zapewnia skuteczne egzekwowanie przepisów o ochronie danych w praktyce, tym samym zapewniając stopień ochrony zasadniczo odpowiadający stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(129)

W celu zapewnienia odpowiedniej ochrony, a w szczególności egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć dostęp do dochodzenia roszczeń na drodze administracyjnej i sądowej, w tym do dochodzenia odszkodowania.

(130)

Koreański system zapewnia osobom fizycznym różne mechanizmy skutecznego egzekwowania ich praw i dochodzenia roszczeń (na drodze sądowej).

(131)

W pierwszej kolejności osoby fizyczne, które uważają, że ich prawa lub interesy w zakresie ochrony danych zostały naruszone, mogą zwrócić się do właściwego administratora. Zgodnie z art. 30 ust. 1 pkt 5 PIPA polityka prywatności administratora musi zawierać między innymi informacje o prawach osób, których dane dotyczą, oraz sposobach wykonywania tych praw. Ponadto musi ona zawierać dane kontaktowe, takie jak nazwisko i numer telefonu, urzędnika ds. ochrony prywatności lub działu odpowiedzialnego za ochronę danych, aby umożliwić wniesienie skargi („zażalenia”). W ramach organizacji administratora urzędnik ds. ochrony prywatności jest odpowiedzialny za rozpatrywanie skarg, podejmowanie działań naprawczych w przypadku naruszenia prywatności oraz odszkodowania (art. 31 ust. 2 pkt 3 i 4 PIPA). Ta ostatnia kwestia jest istotna na przykład w przypadku naruszenia ochrony danych, ponieważ administrator musi poinformować osobę, której dane dotyczą, między innymi o punktach kontaktowych do zgłaszania wszelkich szkód (art. 34 ust. 1 pkt 5 PIPA).

(132)

Ponadto PIPA oferuje osobom fizycznym kilka dróg dochodzenia roszczeń przeciwko administratorom. Po pierwsze, każda osoba fizyczna, która uważa, że jej prawa lub interesy w zakresie ochrony danych zostały naruszone przez administratora, może zgłosić takie naruszenie bezpośrednio do PIPC lub jednej z wyspecjalizowanych instytucji wyznaczonych przez PIPC do przyjmowania i rozpatrywania skarg; należy do nich Koreańska Agencja ds. Internetu i Bezpieczeństwa, która w tym celu prowadzi centrum telefoniczne do spraw danych osobowych (tzw. centrum telefoniczne ds. prywatności) (art. 62 ust. 1 pkt 2 PIPA w związku z art. 59 dekretu wykonawczego do PIPA). Centrum telefoniczne ds. prywatności bada i stwierdza naruszenia, zapewnia poradnictwo w zakresie przetwarzania danych osobowych (art. 62 ust. 3 PIPA) i może zgłaszać naruszenia do PIPC (ale nie może samo egzekwować prawa). Centrum telefoniczne ds. prywatności otrzymuje dużo skarg/zgłoszeń (np. 177 457 w 2020 r., 159 255 w 2019 r. i 164 497 w 2018 r.) (162). Według informacji otrzymanych od PIPC od sierpnia 2020 r. do sierpnia 2021 r. sama PIPC otrzymała około 1 000 skarg. W odpowiedzi na skargę PIPC może wydać zalecenie dotyczące usprawnień, nakazać podjęcie działań naprawczych, wnieść „zarzuty” do właściwego organu ścigania (np. do prokuratury) lub zalecić zastosowanie środków dyscyplinarnych (zob. art. 61, 64 i 65 PIPA). Decyzje PIPC (takie jak odmowa rozpatrzenia skargi lub odrzucenie skargi co do jej istoty) można zaskarżyć na mocy ustawy o postępowaniu administracyjnym (163).

(133)

Po drugie, zgodnie z art. 40–50 PIPA w związku z art. 48-14–57 dekretu wykonawczego do PIPA, osoby, których dane dotyczą, mogą wystąpić z roszczeniem do „Komisji ds. Mediacji w Sporach” (ang. Dispute Mediation Committee), która składa się z przedstawicieli mianowanych przez przewodniczącego PIPC spośród członków dyrekcji PICP oraz osób fizycznych mianowanych na podstawie ich doświadczenia w dziedzinie ochrony danych spośród pewnych kwalifikujących się grup (zob. art. 40 ust. 2, 3 i 7 PIPA, art. 48-14 dekretu wykonawczego do PIPA) (164). Możliwość skorzystania z mediacji przed Komisją ds. Mediacji w Sporach to alternatywna droga dochodzenia roszczeń, która jednak nie ogranicza prawa osoby fizycznej do zwrócenia się zamiast tego do PIPC lub sądów. W celu zbadania sprawy komisja może zwrócić się do stron sporu o przedstawienie niezbędnych materiałów lub wezwać odpowiednich świadków do stawienia się przed nią (art. 45 PIPA). Po wyjaśnieniu sprawy komisja przygotowuje projekt ugody mediacyjnej (165), na który musi wyrazić zgodę większość jej członków. Projekt ugody mediacyjnej może zawierać zobowiązanie do zaprzestanie naruszenia, konieczne działania naprawcze (w tym przywrócenie stanu poprzedniego lub odszkodowanie), jak również wszelkie środki konieczne do zapobieżenia powtórzeniu się tego samego lub podobnego naruszenia (art. 47 ust. 1 PIPA). W przypadku gdy obie strony zgadzają się na zawarcie ugody mediacyjnej, ma ona taki sam skutek jak ugoda sądowa (art. 47 ust. 5 PIPA). Każda ze stron może wszcząć postępowanie przed sądem w trakcie trwania mediacji, w którym to przypadku mediacja zostanie zawieszona (zob. art. 48 ust. 2 PIPA) (166). Roczne statystyki publikowane przez PIPC wskazują, że osoby fizyczne regularnie korzystają z procedury mediacyjnej przed Komisją ds. Mediacji w Sporach, a procedura ta często prowadzi do pozytywnych wyników. Na przykład w 2020 r. Komisja ds. Mediacji w Sporach zajmowała się 126 sprawami, z których 89 rozstrzygnięto przed nią (w 77 z nich strony osiągnęły porozumienie przed zakończeniem procesu mediacji, a w 12 z nich strony przyjęły propozycję mediatora), co dało wskaźnik mediacji na poziomie 70,6 % (167). Podobnie w 2019 r. Komisja zajmowała się 139 sprawami, z których 92 rozstrzygnięto, co dało wskaźnik mediacji na poziomie 62,2 %.

(134)

Ponadto, jeżeli co najmniej 50 osób fizycznych poniosło szkodę lub ich prawa do ochrony danych zostały naruszone w ten sam lub podobny sposób w następstwie tego samego (rodzaju) incydentu (168), osoba, której dane dotyczą, lub organizacja zajmująca się ochroną danych może złożyć wniosek o mediację w sporze zbiorowym w imieniu takiej grupy osób; inne osoby, których dane dotyczą, mogą dołączyć do takiej mediacji, co zostanie ogłoszone publicznie przez Komisję ds. Mediacji w Sporach (art. 49 ust. 1–3 PIPA w związku z art. 52–54 dekretu wykonawczego do PIPA) (169). Komisja ds. Mediacji w Sporach może wybrać co najmniej jedną osobę, która w najbardziej odpowiedni sposób reprezentuje wspólny interes, jako stronę reprezentatywną (art. 49 ust. 4 PIPA). W przypadku gdy administrator odrzuci mediację w sporze zbiorowym lub nie zgodzi się na zawarcie ugody mediacyjnej, pewne organizacje (170) mogą wnieść powództwo zbiorowe, aby zaradzić naruszeniu (art. 51–57 PIPA).

(135)

Po trzecie, w przypadku naruszenia prywatności powodującego „szkodę” dla osoby fizycznej, osoba, której dane dotyczą, ma prawo do odpowiednich środków dochodzenia roszczeń w ramach „szybkiej i sprawiedliwej procedury” (art. 4 pkt 5 w związku z art. 39 PIPA) (171). Administrator może uwolnić się od zarzutów w drodze udowodnienia braku winy („bezprawnego zamiaru” lub zaniedbania). W przypadku gdy osoba, której dane dotyczą, poniesie szkodę na skutek utraty, kradzieży, ujawnienia, fałszerstwa, zmiany lub zniszczenia jej danych osobowych, sąd może ustalić odszkodowanie w wysokości do trzykrotności wartości faktycznej szkody, uwzględniając szereg czynników (art. 39 ust. 3 i 4 PIPA). Ewentualnie osoba, której dane dotyczą, może dochodzić „rozsądnej kwoty” odszkodowania, nieprzekraczającej 3 mln wonów (art. 39-2 ust. 1 i 2 PIPA). Ponadto, zgodnie z kodeksem cywilnym, odszkodowania można dochodzić od każdej osoby, „która powoduje straty lub szkody dla innej osoby w drodze umyślnego lub nieumyślnego bezprawnego działania” (172) lub od osoby, „która wyrządziła szkodę osobie, wolności lub dobremu imieniu innej osoby lub spowodowała jej cierpienie psychiczne” (173). Taką odpowiedzialność deliktową wynikającą z naruszenia przepisów o ochronie danych potwierdził Sąd Najwyższy (174). Jeżeli szkoda została spowodowana bezprawnym działaniem organu publicznego, powództwo o odszkodowanie może być ponadto wniesione na podstawie ustawy o odszkodowaniach od państwa (175). Powództwo na podstawie ustawy o odszkodowaniach od państwa można wnieść do wyspecjalizowanej rady ds. odszkodowań lub bezpośrednio do koreańskich sądów (176). Odpowiedzialność państwa obejmuje również szkody niemajątkowe (takie jak cierpienie psychiczne) (177). Jeśli poszkodowany jest cudzoziemcem, ustawa o odszkodowaniach od państwa ma zastosowanie, o ile kraj pochodzenia ofiary również zapewnia odszkodowanie obywatelom koreańskim (178).

(136)

Po czwarte, Sąd Najwyższy stwierdził, że osoby fizyczne mają prawo do wystąpienia o nakaz sądowy z tytułu naruszenia ich praw wynikających z konstytucji, w tym prawa do ochrony danych osobowych (179). W tym kontekście sąd może na przykład nakazać administratorom zawieszenie lub zaprzestanie wszelkich bezprawnych działań. Ponadto prawa do ochrony danych, w tym prawa chronione przez PIPA, mogą być egzekwowane w drodze powództwa cywilnego. To horyzontalne zastosowanie konstytucyjnej ochrony prywatności do relacji między osobami prywatnymi zostało uznane przez Sąd Najwyższy (180).

(137)

Osoby fizyczne mogą złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa na podstawie ustawy o postępowaniu karnym (art. 223) do prokuratora lub funkcjonariusza policji sądowej (181).

(138)

Koreański system oferuje zatem różne możliwości dochodzenia roszczeń – od łatwo dostępnych i tanich (na przykład w drodze kontaktu z centrum telefonicznym ds. prywatności lub mediacji (zbiorowej)) po środki administracyjne (przed PIPC) i sądowe, takie jak możliwość uzyskania odszkodowania.

(139)

Komisja oceniła również ograniczenia i zabezpieczenia, w tym mechanizmy nadzoru i indywidualnych środków dochodzenia roszczeń dostępnych w prawie koreańskim, jeśli chodzi o zbieranie i późniejsze wykorzystanie przez koreańskie organy publiczne danych osobowych przekazywanych w interesie publicznym administratorom w Korei, szczególnie do celów ścigania przestępstw i bezpieczeństwa narodowego (dostęp rządowy). W tym zakresie rząd Korei przedstawił Komisji oficjalne oświadczenia, zapewnienia i zobowiązania podpisane na najwyższym szczeblu ministerialnym i na szczeblu agencji, zawarte w załączniku II do niniejszej decyzji.

(140)

Oceniając, czy warunki dostępu rządu do danych przekazywanych Korei na podstawie niniejszej decyzji spełniają kryterium „zasadniczej równoważności” na podstawie art. 45 ust. 1 rozporządzenia (UE) 2016/679, zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej, w świetle Karty praw podstawowych, Komisja uwzględniła w szczególności poniższe kryteria.

(141)

Po pierwsze, wszelkie ograniczenia prawa do ochrony danych osobowych muszą być przewidziane przepisami prawa, a podstawa prawna, która pozwala na ingerencję w takie prawo, musi sama określać zakres ograniczenia w wykonywaniu danego prawa (182).

(142)

Po drugie, aby spełnić wymóg proporcjonalności, zgodnie z którym odstępstwa od ochrony danych osobowych i ograniczenia tej ochrony powinny mieć zastosowanie tylko w takim zakresie, w jakim jest to absolutnie niezbędne w społeczeństwie demokratycznym do osiągnięcia szczególnych celów interesu ogólnego, równoważnych z celami uznanymi przez Unię, ustawodawstwo danego państwa trzeciego, które zezwala na ingerencję, powinno określać jasne i precyzyjne zasady regulujące zakres i stosowanie środków oraz przewidywać wymagane zabezpieczenia, aby osoby, których dane zostały przekazane, miały wystarczające gwarancje skutecznej ochrony swoich danych osobowych przed ryzykiem nadużyć (183). Przepisy muszą w szczególności wskazywać, w jakich okolicznościach i na jakich warunkach można wprowadzić środek przewidujący przetwarzanie takich danych (184), a także poddawać spełnienie takich wymogów niezależnemu nadzorowi (185).

(143)

Po trzecie, prawodawstwo i jego wymogi muszą być prawnie wiążące na mocy prawa krajowego. Dotyczy to przede wszystkim organów danego państwa trzeciego, ale te wymogi prawne muszą być również egzekwowalne wobec władz danego państwa trzeciego przed sądami (186). W szczególności osoby, których dane dotyczą, muszą mieć możliwość wytoczenia powództwa przed niezależnym i bezstronnym sądem, aby uzyskać dostęp do swoich danych osobowych lub uzyskać sprostowanie lub usunięcie takich danych (187).

(144)

Ograniczenia i zabezpieczenia mające zastosowanie do zbierania, a następnie wykorzystywania danych osobowych przez koreańskie organy publiczne wynikają z nadrzędnych ram konstytucyjnych, ustaw szczególnych, które regulują działalność tych organów w dziedzinie ścigania przestępstw i bezpieczeństwa narodowego, jak również przepisów, które mają szczególne zastosowanie do przetwarzania danych osobowych.

(145)

Po pierwsze, dostęp do danych osobowych przez koreańskie organy publiczne jest regulowany ogólnymi zasadami zgodności z prawem, konieczności i proporcjonalności, które wynikają z koreańskiej konstytucji (188). W szczególności podstawowe prawa i wolności (w tym prawo do prywatności i tajemnicy korespondencji) (189) mogą być ograniczone przepisami prawa tylko wówczas, gdy jest to konieczne do celów bezpieczeństwa narodowego lub utrzymania porządku publicznego i do celów dobra publicznego. Takie ograniczenia nie mogą naruszać istoty danego prawa lub wolności. W odniesieniu do przeszukania i zajęcia konstytucja stanowi, że mogą mieć one miejsce wyłącznie w sposób przewidziany przepisami prawa, na podstawie nakazu wydanego przez sędziego i z poszanowaniem sprawiedliwości proceduralnej (190). Osoby fizyczne mogą powołać się na swoje prawa i wolności przed Trybunałem Konstytucyjnym, jeżeli uważają, że zostały one naruszone przez organy publiczne w ramach wykonywania ich uprawnień (191). Podobnie osoby fizyczne, które poniosły szkody z powodu bezprawnego czynu popełnionego przez urzędnika publicznego w trakcie wykonywania obowiązków służbowych, mają prawo dochodzić słusznego odszkodowania (192).

(146)

Po drugie, jak opisano szczegółowo w pkt 3.2.1 i 3.3.1, ogólne zasady wymienione w motywie (145) są również odzwierciedlone w ustawach szczególnych, które regulują uprawnienia organów ścigania i bezpieczeństwa narodowego. Na przykład w odniesieniu do postępowania przygotowawczego ustawa o postępowaniu karnym (CPA, od ang. Criminal Procedure Act) stanowi, że środki przymusu mogą zostać zastosowane wyłącznie w przypadkach wyraźnie przewidzianych w CPA i w najmniejszym zakresie niezbędnym do osiągnięcia celu dochodzenia (193). Podobnie w art. 3 ustawy o ochronie prywatności komunikacji (CPPA, od ang. Communications Privacy Protection Act) zabrania się dostępu do komunikacji prywatnej, z wyjątkiem sytuacji, gdy jest on oparty na przepisach prawa i podlega określonym w nich ograniczeniom i zabezpieczeniom. W dziedzinie bezpieczeństwa narodowego ustawa o Narodowej Służbie Wywiadu (ustawa o NIS, od ang. National Intelligence Service) stanowi, że każdy dostęp do informacji dotyczących komunikacji lub informacji dotyczących lokalizacji musi być zgodny z prawem, a nadużywanie władzy i naruszanie prawa jest zagrożone sankcjami karnymi (194).

(147)

Po trzecie, zgodnie z PIPA, przetwarzanie danych osobowych przez organy publiczne, w tym do celów ścigania przestępstw i bezpieczeństwa narodowego, podlega przepisom o ochronie danych (195). Zgodnie z zasadą ogólną w art. 5 ust. 1 PIPA zobowiązano organy publiczne do opracowania polityki mającej na celu zapobieganie „nadużywaniu i niewłaściwemu wykorzystywaniu danych osobowych, jawnemu nadzorowi i śledzeniu itp. oraz promowanie godności człowieka i prywatności osób fizycznych”. Ponadto każdy administrator musi przetwarzać dane osobowe w sposób, który minimalizuje możliwość naruszenia prywatności osoby, której dane dotyczą (art. 3 ust. 6 PIPA).

(148)

Wszystkie wymogi przewidziane w PIPA, opisane szczegółowo w sekcji 2, mają zastosowanie do przetwarzania danych osobowych na potrzeby ścigania przestępstw. Obejmuje to podstawowe zasady (takie jak zgodność z prawem i rzetelność, ograniczenie celu, prawidłowość, minimalizacja danych, ograniczenie przechowywania, bezpieczeństwo i przejrzystość), zobowiązania (np. w zakresie powiadamiania o naruszeniu ochrony danych i danych wrażliwych) oraz prawa (do dostępu do informacji, do korekty, usunięcia i zawieszenia przetwarzania danych).

(149)

Chociaż przetwarzanie danych osobowych do celów bezpieczeństwa narodowego podlega bardziej ograniczonemu zestawowi przepisów na mocy ustawy PIPA, zastosowanie mają podstawowe zasady, jak również przepisy dotyczące nadzoru, egzekwowania i środków dochodzenia roszczeń (196). W szczególności w art. 3 i 4 PIPA ustanowiono ogólne zasady ochrony danych (zgodność z prawem i rzetelność, ograniczenie celu, prawidłowość, minimalizacja danych, bezpieczeństwo i przejrzystość) oraz prawa indywidualne (prawo do informacji, prawo dostępu, prawo do korekty, usunięcia i zawieszenia przetwarzania danych) (197). Ponadto art. 4 ust. 5 PIPA zapewnia osobom fizycznym prawo do odpowiedniego środka dochodzenia roszczeń, w drodze szybkiej i uczciwej procedury, z tytułu wszelkich szkód wynikających z przetwarzania ich danych osobowych. Uzupełnieniem tego przepisu są bardziej szczególne zobowiązania do przetwarzania danych osobowych wyłącznie w minimalnym zakresie niezbędnym do osiągnięcia zamierzonego celu i przez możliwie najkrótszy okres, do wprowadzenia niezbędnych środków w celu zapewnienia bezpiecznego zarządzania danymi i właściwego przetwarzania (takie jak zabezpieczenia techniczne, zarządcze i fizyczne), jak również wprowadzenia środków służących właściwemu rozpatrywaniu indywidualnych skarg (zażaleń) (198). Ogólne zasady zgodności z prawem, konieczności i proporcjonalności wynikające z koreańskiej konstytucji (zob. motyw (145)) mają zastosowanie również do przetwarzania danych osobowych do celów bezpieczeństwa narodowego.

(150)

Na te ogólne ograniczenia i zabezpieczenia osoby fizyczne mogą powoływać się przed niezależnymi organami nadzoru (np. PIPC lub Krajową Komisją Praw Człowieka, zob. motywy (177)–(178)) oraz sądami (zob. motywy (179)–(183)), aby dochodzić swoich roszczeń.

(151)

W prawie Republiki Korei ustanowiono szereg ograniczeń w zakresie dostępu do danych osobowych i ich wykorzystywania do celów ścigania przestępstw, a także zapewniono mechanizmy nadzoru i dochodzenia roszczeń zgodne z wymogami, o których mowa w motywach (141)–(143) niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach.

(152)

Dane osobowe przetwarzane przez koreańskich administratorów, które byłyby przekazywane z Unii na podstawie niniejszej decyzji (199), mogą być zbierane przez koreańskie władze do celów ścigania przestępstw w kontekście przeszukania lub zajęcia (na podstawie CPA) w drodze dostępu do informacji dotyczących komunikacji (na podstawie CPPA) lub w drodze pozyskiwania danych abonentów za pośrednictwem wniosków o dobrowolne ujawnienie (na podstawie ustawy o działalności telekomunikacyjnej, ang. Telecommunications Business Act, TBA) (200).

(153)

CPA stanowi, że przeszukanie lub zajęcie może mieć miejsce wyłącznie wówczas, gdy osoba jest podejrzana o popełnienie przestępstwa, jest to konieczne do celów dochodzenia oraz istnieje związek między dochodzeniem a osobą, która ma zostać przeszukana, lub przedmiotem, który ma zostać poddany kontroli lub zajęty (201). Ponadto przeszukanie lub zajęcie (jak każdy środek przymusu) może być dozwolone lub przeprowadzone jedynie w najmniejszym niezbędnym zakresie (202). Jeżeli przeszukanie dotyczy dysku komputerowego lub innego nośnika danych, co do zasady zajęte zostają wyłącznie same niezbędne dane (skopiowane lub wydrukowane), a nie cały nośnik (203). Nośnik może zostać zajęty wyłącznie wówczas, gdy uznano, że wyodrębnione wydrukowanie lub skopiowanie wymaganych danych jest niemożliwe, lub gdy uznano, że nie można zrealizować celu przeszukania w inny sposób (204). W CPA ustanowiono w związku z tym jasne i precyzyjne zasady dotyczące zakresu i stosowania tych środków, aby zapewnić tym samym, że ingerencja w prawa osób fizycznych w przypadku przeszukania lub zajęcia będzie ograniczona do tego, co jest niezbędne do celów określonego postępowania przygotowawczego i proporcjonalne do zamierzonego celu.

(154)

Jeżeli chodzi o zabezpieczenia proceduralne, w CPA wymaga się uzyskania nakazu sądowego w celu przeprowadzenia przeszukania lub zajęcia (205). Przeszukanie lub zajęcie bez nakazu jest dopuszczalne wyłącznie w wyjątkowych okolicznościach, mianowicie w sprawach pilnych (206), na miejscu w chwili zatrzymania lub aresztowania osoby podejrzanej (207), lub w przypadku gdy przedmiot został porzucony lub dobrowolnie przekazany przez osobę podejrzaną lub osobę trzecią (w odniesieniu do danych osobowych – przez samą osobę zainteresowaną) (208). Nielegalne przeszukania i zajęcia są zagrożone sankcjami karnymi (209), a wszelkie dowody uzyskane z naruszeniem CPA uznaje się za niedopuszczalne (210). Ponadto zainteresowane osoby fizyczne muszą być zawsze bezzwłocznie powiadamiane o przeszukaniu lub zajęciu (w tym o zajęciu ich danych) (211), co z kolei ułatwi wykonanie przysługujących im praw podmiotowych i prawa do dochodzenia roszczeń (zob. w szczególności możliwość zaskarżenia wykonania nakazu zajęcia – motyw (180)).

(155)

Na podstawie CPPA koreańskie organy ścigania mogą zastosować dwa rodzaje środków (212): z jednej strony, mogą zbierać „dane potwierdzające komunikację” (213), które obejmują datę połączenia telekomunikacyjnego, czas jego rozpoczęcia i zakończenia, liczbę połączeń wychodzących i przychodzących, jak również numer abonenta drugiego rozmówcy, częstotliwość połączeń, pliki dziennika dotyczące korzystania z usług telekomunikacyjnych oraz informacje dotyczące lokalizacji (na przykład z wież przekaźnikowych, które odbierają sygnały); oraz, z drugiej strony, mogą zastosować „środki ograniczające komunikację”, które obejmują zarówno zbieranie treści pochodzących z poczty tradycyjnej, jak i bezpośrednie przechwytywanie treści przekazów telekomunikacyjnych (214).

(156)

Dostęp do danych potwierdzających komunikację można uzyskać wyłącznie wówczas, gdy jest to konieczne do przeprowadzenia postępowania przygotowawczego lub wykonania wyroku (215), na podstawie nakazu wydanego przez sąd (216). W tym zakresie w CPPA wymaga się przedstawienia szczegółowych informacji zarówno we wniosku o wydanie nakazu (np. na temat powodów wystąpienia z wnioskiem, związku z osobą, której dotyczy wniosek/abonentem oraz niezbędnych danych), jak i w samym nakazie (np. na temat celu, osoby, której dotyczy nakaz, i zakresu środka) (217). Zbieranie danych bez nakazu może mieć miejsce wyłącznie wówczas, gdy ze względu na pilny charakter sprawy niemożliwe jest uzyskanie zezwolenia sądu – w takim przypadku należy uzyskać nakaz i przekazać go dostawcy usług telekomunikacyjnych niezwłocznie po wystąpieniu o dane (218). Jeżeli sąd odmówi następnie udzielenia zezwolenia, zebrane informacje muszą zostać zniszczone (219).

(157)

W zakresie dodatkowych zabezpieczeń w odniesieniu do zbierania danych potwierdzających komunikację w CPPA nakłada się szczególne wymogi dotyczące prowadzenia rejestrów i przejrzystości (220). W szczególności zarówno organy ścigania (221), jak i dostawcy usług telekomunikacyjnych (222) muszą prowadzić rejestry wniosków i dokonanych ujawnień. Ponadto organy ścigania muszą co do zasady powiadomić osoby fizyczne o fakcie, że zebrano dotyczące ich dane potwierdzające komunikację (223). Odroczenie takiego powiadomienia może nastąpić wyłącznie w wyjątkowych okolicznościach, na podstawie zezwolenia dyrektora właściwej prokuratury okręgowej (224). Zezwolenia takiego można udzielić wyłącznie w przypadku, gdy istnieje prawdopodobieństwo, że powiadomienie może 1) zagrażać bezpieczeństwu narodowemu oraz bezpieczeństwu i porządkowi publicznemu, 2) spowodować śmierć lub uszczerbek na zdrowiu, 3) utrudnić rzetelne postępowanie sądowe (na przykład prowadząc do zniszczenia dowodów lub grożenia świadkom) lub 4) zniesławić osobę podejrzaną, poszkodowanych lub inne osoby związane ze sprawą lub naruszyć ich prywatność. W takich przypadkach powiadomienie musi zostać dostarczone w terminie 30 dni od ustania przyczyn odroczenia (225). Po otrzymaniu powiadomienia osoby fizyczne mają prawo do uzyskania informacji o powodach zbierania ich danych (226).

(158)

Bardziej rygorystyczne zasady mają zastosowanie w odniesieniu do środków ograniczających komunikację, które mogą być stosowane wyłącznie w przypadku istotnego powodu do podejrzeń, że planuje się, popełnia lub popełniono określone poważne przestępstwa wyraźnie wymienione w CPPA (227). Ponadto środki ograniczające komunikację można wykorzystywać wyłącznie jako środek ostateczny i gdy trudno jest w inny sposób zapobiec popełnieniu przestępstwa, aresztować przestępcę lub zebrać dowody (228). Należy natychmiast zaprzestać stosowania takich środków, gdy nie są już niezbędne, aby ograniczyć naruszenie prywatności komunikacji do niezbędnego minimum (229). Informacje, które zostały nielegalnie uzyskane za pomocą środków ograniczających komunikację, nie są dopuszczane jako dowód w postępowaniu sądowym lub postępowaniu dyscyplinarnym (230).

(159)

Jeżeli chodzi o zabezpieczenia proceduralne, w CPPA wymaga się uzyskania nakazu w celu zastosowania środków ograniczających komunikację (231). Również w tym przypadku w CPPA wymaga się, aby wniosek o wydanie nakazu oraz sam nakaz zawierały szczegółowe informacje (232), w tym uzasadnienie wniosku, jak również informacje dotyczące komunikacji, które mają zostać zebrane (które muszą dotyczyć podejrzanego, przeciwko któremu wszczęto postępowanie przygotowawcze) (233). Środki takie można zastosować bez nakazu wyłącznie w przypadku bezpośredniego zagrożenia przestępczością zorganizowaną lub w przypadku bezpośredniego zagrożenia innym poważnym przestępstwem, które może bezpośrednio spowodować śmierć lub poważny uszczerbek na zdrowiu, oraz w sytuacji nadzwyczajnej, która uniemożliwia zastosowanie zwykłej procedury (234). Jednakże w takim przypadku wniosek o wydanie nakazu należy złożyć niezwłocznie po zastosowaniu środka (235). Środki ograniczające komunikację mogą być stosowane wyłącznie przez okres maksymalnie dwóch miesięcy (236) i mogą zostać przedłużone wyłącznie za zgodą sądu, jeżeli warunki stosowania tych środków nadal będą spełnione (237). Okres przedłużenia nie może przekroczyć łącznie jednego roku lub trzech lat w przypadku niektórych szczególnie poważnych przestępstw (takich jak przestępstwa związane z rewolucją, agresją zagraniczną, bezpieczeństwem narodowym) (238).

(160)

Podobnie jak w przypadku zbierania danych potwierdzających komunikację w CPPA wymaga się od dostawców usług telekomunikacyjnych (239) i organów ścigania (240) prowadzenia rejestrów wykonywania środków ograniczających komunikację oraz przewiduje się powiadamianie zainteresowanej osoby fizycznej, które wyjątkowo może zostać odroczone, w stosownych przypadkach, ze względu na ważny interes publiczny (241).

(161)

Ponadto nieprzestrzeganie określonych ograniczeń i zabezpieczeń przewidzianych w CPPA (w tym na przykład obowiązków dotyczących uzyskania nakazu, prowadzenia rejestrów i powiadamiania osoby fizycznej), zarówno w odniesieniu do zbierania danych potwierdzających komunikację, jak i stosowania środków ograniczających komunikację, jest zagrożone sankcjami karnymi (242).

(162)

Uprawnienia organów ścigania do zbierania danych dotyczących komunikacji na podstawie CPPA (zarówno treści komunikacji, jak i danych potwierdzających komunikację) są zatem ograniczone jasnymi i precyzyjnymi zasadami i podlegają licznym zabezpieczeniom. Zabezpieczenia te w szczególności gwarantują nadzór nad wykonywaniem takich środków – zarówno ex ante (poprzez uprzednią zgodę sądu), jak i ex post (poprzez wymogi dotyczące prowadzenia rejestrów i sprawozdawczości) – oraz ułatwiają osobom fizycznym dostęp do skutecznych środków prawnych (zapewniając, aby zostały one poinformowane o zbieraniu ich danych).

(163)

Oprócz korzystania ze środków przymusu opisanych w motywach (153)–(162) koreańskie organy ścigania mogą zwrócić się do dostawców usług telekomunikacyjnych o dobrowolne przekazanie „danych dotyczących komunikacji” w celu wsparcia procesu karnego, postępowania przygotowawczego lub wykonania wyroku (art. 83 ust. 3 TBA). Możliwość ta istnieje wyłącznie w odniesieniu do ograniczonych zbiorów danych, tj. imienia i nazwiska, numeru rejestracyjnego mieszkańca, adresu i numeru telefonu użytkowników, terminów rozpoczęcia lub zakończenia abonamentu, jak również kodów identyfikacyjnych użytkowników (czyli kodów używanych do identyfikacji prawowitego użytkownika systemów komputerowych lub sieci komunikacyjnych) (243). Ponieważ za „użytkowników” (244) uważa się wyłącznie osoby fizyczne, które bezpośrednio korzystają z usług koreańskiego dostawcy usług telekomunikacyjnych, osoby fizyczne z UE, których dane zostały przekazane do Republiki Korei, zwykle nie należą do tej kategorii (245).

(164)

Do takich dobrowolnych ujawnień mają zastosowanie różne ograniczenia, zarówno w odniesieniu do wykonywania uprawnień przez organ ścigania, jak i reakcji operatora telekomunikacyjnego. Zgodnie z ogólnym wymogiem organy ścigania muszą działać zgodnie z konstytucyjnymi zasadami konieczności i proporcjonalności (art. 12 ust. 1 i art. 37 ust. 2 konstytucji), także wtedy, gdy zwracają się o przekazanie informacji na zasadzie dobrowolności. Ponadto muszą one przestrzegać przepisów PIPA, w szczególności zbierając wyłącznie minimalne dane osobowe, w zakresie niezbędnym do osiągnięcia zgodnego z prawem celu, w sposób minimalizujący wpływ na prywatność osób fizycznych (uwzględniając art. 3 ust. 1 i 6 PIPA). W szczególności wnioski o uzyskanie danych dotyczących komunikacji na podstawie TBA muszą być składane na piśmie i muszą zawierać uzasadnienie wniosku oraz wskazanie związku z danym użytkownikiem i zakresu danych objętych wnioskiem (246).

(165)

Dostawcy usług telekomunikacyjnych nie są zobowiązani do zastosowania się do takich wniosków i mogą to zrobić wyłącznie zgodnie z PIPA. Oznacza to w szczególności, że muszą oni wziąć pod uwagę poszczególne interesy wchodzące w grę i nie mogą dostarczyć danych, jeśli mogłoby to naruszyć w sposób nieuzasadniony interesy osoby fizycznej lub strony trzeciej (247). Byłoby tak na przykład w przypadku, gdyby było oczywiste, że organ wnoszący nadużył swoich uprawnień (248). Operatorzy telekomunikacyjni muszą prowadzić ewidencję ujawnień na podstawie TBA i dwa razy w roku przedkładać sprawozdanie Ministrowi Nauki i Technologii Informacyjno-Komunikacyjnych (249).

(166)

Ponadto, zgodnie z sekcją 3 zawiadomienia nr 2021-5 (załącznik I), dostawcy usług telekomunikacyjnych co do zasady muszą powiadomić zainteresowaną osobę fizyczną, jeżeli dobrowolnie zastosują się do wniosku (250). To z kolei umożliwi osobie fizycznej wykonanie przysługujących jej praw oraz – w przypadku bezprawnego ujawnienia danych – dochodzenie roszczeń albo od administratora (np. za ujawnienie danych z naruszeniem PIPA lub za uwzględnienie wniosku, który był wyraźnie nieproporcjonalny), albo od organów ścigania (np. za działanie wykraczające poza granice tego, co konieczne i proporcjonalne, lub za nieprzestrzeganie wymogów proceduralnych określonych w TBA).

(167)

Przetwarzanie danych osobowych zebranych przez koreańskie organy ścigania podlega wszystkim wymogom PIPA, w tym w odniesieniu do ograniczenia celu (art. 3 ust. 1–2 PIPA), zgodności z prawem wykorzystywania i przekazywania stronom trzecim (art. 15, 17 i 18 PIPA), przekazywania międzynarodowego (art. 17 i 18 PIPA w związku z sekcją 2 zawiadomienia nr 2021-5) (251), proporcjonalności lub minimalizacji danych (art. 3 ust. 1 i 6 PIPA) oraz ograniczenia przechowywania (art. 21 PIPA) (252).

(168)

W odniesieniu do treści komunikacji, uzyskanych w wyniku zastosowania środków ograniczających komunikację, CPPA wyraźnie ogranicza możliwość ich wykorzystania do celów postępowania przygotowawczego, ścigania karnego lub zapobiegania poważnym przestępstwom (253); postępowań dyscyplinarnych w związku z tymi samymi przestępstwami; dochodzenia roszczeń odszkodowawczych przez stronę komunikacji lub gdy jest to wyraźnie dozwolone na mocy innych przepisów (254). Ponadto zbierane treści przekazów telekomunikacyjnych przesyłanych przez internet mogą być zatrzymywane wyłącznie za zgodą sądu, który wydał zezwolenie na zastosowanie środków ograniczających komunikację (255), w celu wykorzystania ich do celów postępowania przygotowawczego, ścigania lub zapobiegania poważnym przestępstwom (256). Co do zasady, w CPPA zakazuje się ujawniania informacji poufnych uzyskanych w wyniku stosowania środków ograniczających komunikację oraz wykorzystywania takich informacji w celu zaszkodzenia reputacji podmiotów, które podlegały tym środkom (257).

(169)

W Korei działania organów ścigania są nadzorowane przez różne organy (258).

(170)

Po pierwsze, policja podlega wewnętrznemu nadzorowi Inspektora Generalnego (259), który przeprowadza kontrolę zgodności z prawem, w tym w odniesieniu do ewentualnych naruszeń praw człowieka. Funkcję Inspektora Generalnego utworzono w celu wdrożenia ustawy o audycie w sektorze publicznym, w której zachęca się do powoływania organów kontrolujących własną działalność i określa szczegółowe wymagania dotyczące ich składu i zadań. W szczególności ustawa zawiera wymóg, aby szef organu kontrolującego własną działalność był powoływany spoza danego organu (np. spośród byłych sędziów, profesorów) na okres od dwóch do pięciu lat (260), aby mógł zostać odwołany wyłącznie z uzasadnionych powodów (np. gdy nie jest w stanie wykonywać swoich obowiązków ze względów zdrowotnych lub gdy podlega środkom dyscyplinarnym) (261) i aby miał zagwarantowaną niezależność w jak najszerszym zakresie (262). Utrudnianie kontrolowania własnej działalności jest zagrożone administracyjnymi karami pieniężnymi (263). Sprawozdania z audytu (które mogą zawierać zalecenia, wnioski o zastosowanie środków dyscyplinarnych oraz wnioski o odszkodowanie lub dokonanie korekty) są przekazywane szefowi właściwego organu publicznego i Komisji Kontroli i Audytu (BAI) (264) oraz, co do zasady, podawane do wiadomości publicznej (265). O wynikach wdrażania sprawozdania należy również powiadomić BAI (266) (zob. motyw (173) dotyczący roli nadzorczej i uprawnień BAI).

(171)

Po drugie, PIPC nadzoruje zgodność przetwarzania danych przez organy ścigania z PIPA i innymi przepisami chroniącymi prywatność osób fizycznych, w tym przepisami regulującymi zbieranie (elektronicznego) materiału dowodowego do celów ścigania przestępstw, jak opisano w pkt 3.2.1 (267). W szczególności, ponieważ nadzór PIPC obejmuje zgodność z prawem i słuszność zbierania i przetwarzania danych (art. 3 ust. 1 PIPA), które zostaną naruszone, jeżeli dostęp do danych osobowych i ich wykorzystywanie odbywa się z naruszeniem tych przepisów (268), PIPC może również badać i egzekwować zgodność z ograniczeniami i zabezpieczeniami opisanymi w pkt 3.2.1 (269). Wykonując tę funkcję nadzorczą, PIPC może korzystać ze wszystkich swoich uprawnień dochodzeniowych i zaradczych, opisanych szczegółowo w pkt 2.4.2. Już przed niedawną reformą PIPA (tj. w ramach swojej poprzedniej funkcji nadzoru dla sektora publicznego) PIPC przeprowadziła kilka działań nadzorczych w zakresie przetwarzania danych osobowych przez organy ścigania, np. w kontekście przesłuchań podejrzanych (sprawa nr 2013-16, 26 sierpnia 2013 r.), w zakresie dostarczania osobom fizycznym powiadomień o nałożeniu administracyjnych kar pieniężnych (sprawa nr 2015-02-04, 26 stycznia 2015 r.), udostępniania danych innym organom (sprawa nr 2018-15-146, 9 lipca 2018 r., sprawa nr 2018-25-308, 10 grudnia 2018 r.; sprawa nr 2019-02-015, 29 stycznia 2019 r.), zbierania odcisków palców lub fotografii (sprawa nr 2019-17-273, 9 września 2019 r.), użycia bezzałogowych statków powietrznych (sprawa nr 2020-01-004, 13 stycznia 2020 r.). W tych sprawach PIPC badała zgodność z kilkoma przepisami PIPA (np. zgodność przetwarzania z prawem, zasady ograniczenia celu i minimalizacji danych), ale także z odpowiednimi przepisami innych ustaw, takich jak ustawa o postępowaniu karnym, i w razie potrzeby wydawała zalecenia w celu dostosowania przetwarzania do wymogów w zakresie ochrony danych.

(172)

Po trzecie, niezależny nadzór zapewnia Krajowa Komisja Praw Człowieka (ang. National Human Rights Commission, NHRC) (270), która może prowadzić dochodzenia w sprawie naruszeń prawa do prywatności i prawa do prywatności korespondencji w ramach swojego ogólnego mandatu ochrony praw podstawowych zagwarantowanych w art. 10-22 konstytucji. NHRC składa się z 11 komisarzy, którzy muszą dysponować określonymi kwalifikacjami (271) i są powoływani przez prezydenta zgodnie z procedurami ustanowionymi na mocy przepisów prawa. W szczególności powołanie czterech komisarzy następuje na podstawie nominacji Zgromadzenia Narodowego, czterech – na podstawie nominacji prezydenta, a trzech – na podstawie nominacji prezesa Sądu Najwyższego (272). Przewodniczącego powołuje prezydent spośród komisarzy, a następnie wymagane jest zatwierdzenie przez Zgromadzenie Narodowe (273). Komisarze (w tym przewodniczący) są powoływani na odnawialną trzyletnią kadencję i mogą zostać odwołani wyłącznie w przypadku skazania na karę pozbawienia wolności lub gdy nie są w stanie dłużej wykonywać swoich obowiązków z powodu długotrwałej niepełnosprawności intelektualnej lub fizycznej (w takim przypadku dwie trzecie komisarzy musi wyrazić zgodę na odwołanie) (274). W ramach prowadzonego dochodzenia NHRC może zażądać przedłożenia odpowiednich materiałów, przeprowadzić kontrolę i wezwać osoby fizyczne do złożenia zeznań (275) Jeśli chodzi o uprawnienia zaradcze, NHRC może wydawać (podawane do wiadomości publicznej) zalecenia dotyczące poprawy lub skorygowania określonych polityk i praktyk, na które organy publiczne muszą odpowiedzieć, proponując plan wdrożenia (276). Jeżeli odnośny organ nie wykona zaleceń, musi poinformować o tym komisję (277), która z kolei może ujawnić takie zaniechanie Zgromadzeniu Narodowemu lub podać je do wiadomości publicznej. Zgodnie z oficjalnym oświadczeniem rządu Korei (załącznik II pkt 2.3.5) władze koreańskie co do zasady stosują się do zaleceń NHRC i mają ku temu silną motywację, ponieważ wdrożenie zaleceń jest przedmiotem oceny w ramach ogólnej, ciągłej oceny przeprowadzanej pod nadzorem kancelarii premiera. Z rocznych danych dotyczących działalności NHRC wynika, że komisja aktywnie nadzoruje działalność organów ścigania albo na podstawie wniosków indywidualnych, albo w ramach dochodzeń z urzędu (278).

(173)

Po czwarte, ogólny nadzór nad zgodnością z prawem działań organy publiczne sprawuje BAI, która bada dochody i wydatki państwa, ale także sprawuje ogólny nadzór nad wypełnianiem obowiązków przez organy publiczne w celu poprawy funkcjonowania administracji publicznej (279). BAI jest formalnie ustanowiona przy prezydencie Republiki Korei, ale zachowuje niezależny status w odniesieniu do swoich obowiązków (280). Ponadto przyznano jej pełną niezależność w zakresie powoływania, odwoływania i organizacji własnych pracowników oraz opracowywania budżetu (281). W skład BAI wchodzi przewodniczący (powoływany przez prezydenta za zgodą Zgromadzenia Narodowego) (282) i sześciu komisarzy (powoływanych przez prezydenta na podstawie rekomendacji przewodniczącego) (283), którzy muszą dysponować określonymi kwalifikacjami wymienionymi w ustawie (284) i mogą zostać odwołani wyłącznie w przypadku impeachmentu, skazania na karę pozbawienia wolności lub niezdolności do wykonywania obowiązków z powodu długotrwałej niepełnosprawności intelektualnej lub fizycznej (285). BAI przeprowadza corocznie audyt ogólny, ale może również przeprowadzać audyty specjalne w sprawach będących przedmiotem szczególnego zainteresowania. Podczas przeprowadzania audytu lub kontroli BAI może zażądać przedłożenia dokumentów i wezwać osoby fizyczne do stawiennictwa (286). BAI może wydawać zalecenia, wnosić o zastosowanie środków dyscyplinarnych lub złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa (287).

(174)

Ponadto Zgromadzenie Narodowe sprawuje parlamentarny nadzór nad organami publicznymi, prowadząc dochodzenia i kontrole (288) ich działalności (289). Zgromadzenie może zażądać ujawnienia dokumentów, wezwać świadków do stawiennictwa (290), zalecić działania naprawcze (jeśli stwierdzi, że miały miejsce bezprawne lub niewłaściwe działania) (291) oraz podać wyniki swoich ustaleń do publicznej wiadomości (292). Jeżeli Zgromadzenie Narodowe zaleci działania naprawcze, które mogą na przykład obejmować przyznanie odszkodowania, zastosowanie środków dyscyplinarnych lub poprawę procedur wewnętrznych, odnośny organ publiczny jest zobowiązany do niezwłocznego podjęcia działań i złożenia sprawozdania z ich wyniku Zgromadzeniu Narodowemu (293).

(175)

W ramach systemu koreańskiego możliwe są różne (sądowe) drogi dochodzenia roszczeń, w tym uzyskania odszkodowania.

(176)

Po pierwsze, PIPA zapewnia osobom fizycznym prawo dostępu oraz prawo do poprawiania, usuwania i żądania zawieszenia przetwarzania w odniesieniu do danych osobowych przetwarzanych do celów ścigania przestępstw (294).

(177)

Po drugie, osoby fizyczne mogą skorzystać z poszczególnych mechanizmów dochodzenia roszczeń określonych w PIPA, jeżeli ich dane zostały przetworzone przez organ ścigania z naruszeniem przepisów tej ustawy lub z naruszeniem ograniczeń i zabezpieczeń regulujących zbieranie danych osobowych przewidzianych w innych ustawach (tj. CPA lub CPPA, zob. motyw (171)). W szczególności osoby fizyczne mogą wnieść skargę do PIPC (m.in. za pośrednictwem centrum telefonicznego ds. prywatności prowadzonego przez Koreańską Agencję ds. Internetu i Bezpieczeństwa (295)) lub do Komisji ds. Mediacji w Sporach Dotyczących Danych Osobowych (296). Te możliwości dochodzenia roszczeń nie podlegają dalszym wymogom w zakresie dopuszczalności. Ponadto na podstawie ustawy o postępowaniu administracyjnym osoby fizyczne mogą odwołać się od decyzji PIPC lub wnieść skargę na bezczynność tego organu (zob. motyw (132)).

(178)

Po trzecie, każda osoba fizyczna (297) może wnieść do NHRC skargę dotyczącą naruszenia prawa do prywatności i ochrony danych przez koreański organ ścigania. NHRC może zalecić poprawienie lub ulepszenie wszelkich stosownych ustaw, instytucji, polityk lub praktyk (298) lub wdrożenie środków zaradczych, takich jak mediacja (299), zaprzestanie naruszania praw człowieka, odszkodowanie i środki zapobiegające ponownemu wystąpieniu takich samych lub podobnych naruszeń (300). Zgodnie z oficjalnym oświadczeniem rządu Korei (załącznik II pkt 2.4.2) może to również obejmować usunięcie danych osobowych zebranych niezgodnie z prawem. Mimo iż NHRC nie ma uprawnień do wydawania wiążących decyzji, proponuje ona bardziej nieformalną, niskokosztową i łatwo dostępną drogę dochodzenia roszczeń, w szczególności dlatego, że – jak wyjaśniono w załączniku II pkt 2.4.2 – nie wymaga wykazania faktycznej szkody, aby skarga mogła zostać rozpatrzona (301). Pozwala to zagwarantować, że skargi osób fizycznych dotyczące zbierania ich danych będą rozpatrywane, nawet wtedy, gdy dana osoba fizyczna nie jest w stanie wykazać, że jej dane faktycznie zbierano (np. ze względu na to, że jeszcze jej o tym nie zawiadomiono). Roczne sprawozdania z działalności NHRC pokazują, że osoby fizyczne również korzystają z tej drogi w praktyce, aby zaskarżyć działania organów ścigania, w tym w odniesieniu do przetwarzania danych osobowych (302). Jeżeli osoba fizyczna nie jest zadowolona z wyniku postępowania przed NHRC, może zaskarżyć wydane przez tę komisję decyzje (takie jak decyzja o niekontynuowaniu rozpatrywania skargi (303)) i zalecenia przed sądami koreańskimi na mocy ustawy o postępowaniu administracyjnym (zob. motyw (181)) (304). Ponadto procedura przed NHRC może dodatkowo ułatwić dostęp do sądów, ponieważ osoba fizyczna mogłaby dochodzić dalszych roszczeń wobec organu publicznego, który według ustaleń NHRC bezprawnie przetwarzał jej dane, zgodnie z procedurami opisanymi w motywach (181)–(183).

(179)

Dodatkowo dostępne są różne środki ochrony prawnej przed sądem, umożliwiające osobom fizycznym powołanie się na ograniczenia i zabezpieczenia opisane w pkt 3.2.1 w celu dochodzenia roszczeń (305).

(180)

W odniesieniu do zajęć (w tym danych) CPA przewiduje możliwość wniesienia sprzeciwu wobec wykonania nakazu lub zakwestionowania jego wykonania w drodze złożenia wniosku o unieważnienie lub zmianę decyzji prokuratora lub policjanta do sądu właściwego (tzw. „quasi-skarga”) (306).

(181)

Ogólnie rzecz biorąc, osoby fizyczne mogą zaskarżać działania (307) lub zaniechania (308) organów publicznych (w tym organów ścigania) zgodnie z ustawą o postępowaniu administracyjnym (309). Działanie administracyjne uznaje się za „decyzję zaskarżalną”, jeżeli ma ono bezpośredni wpływ na prawa i obowiązki obywatelskie (310), co – jak potwierdził rząd Korei (załącznik II pkt 2.4.3) – ma miejsce w przypadku środków służących zbieraniu danych osobowych, czy to bezpośrednio (np. w drodze przechwytywania komunikacji), czy za pośrednictwem wiążących żądań ujawnienia (np. wobec dostawcy usług) lub wniosków o dobrowolną współpracę. Aby skarga na podstawie ustawy o postępowaniu administracyjnym była dopuszczalna, osoba fizyczna musi mieć interes prawny w dochodzeniu roszczenia (311). Zgodnie z orzecznictwem Sądu Najwyższego „interes prawny” jest rozumiany jako „interes prawnie chroniony”, tj. bezpośredni i konkretny interes chroniony przepisami ustawowymi i wykonawczymi, na których opierają się decyzje administracyjne (niebędący ogólnym pośrednim i abstrakcyjnym interesem społeczeństwa) (312). Osoby fizyczne mają taki interes prawny w przypadku naruszenia ograniczeń i zabezpieczeń, które mają zastosowanie do zbierania ich danych osobowych do celów ścigania przestępstw (na mocy ustaw szczególnych lub PIPA). Na podstawie ustawy o postępowaniu administracyjnym sąd może postanowić o uchyleniu lub zmianie niezgodnej z prawem decyzji, o stwierdzeniu nieważności (tj. stwierdzeniu, że decyzja nie wywołuje skutków prawnych lub nie istnieje w porządku prawnym) lub o stwierdzeniu, że zaniechanie jest niezgodne z prawem (313). Wyrok kończący postępowanie w sprawie wydany na podstawie ustawy o postępowaniu administracyjnym jest wiążący dla stron (314).

(182)

Oprócz zaskarżania działań rządu w drodze postępowania administracyjnego osoby fizyczne mogą również wnieść skargę konstytucyjną do Trybunału Konstytucyjnego w związku z naruszeniem ich praw podstawowych wskutek działania lub zaniechania administracji rządowej (z wyłączeniem wyroków sądowych) (315). Jeśli dostępne są inne środki ochrony prawnej, należy je wyczerpać w pierwszej kolejności. Zgodnie z orzecznictwem Trybunału Konstytucyjnego cudzoziemcy mogą wnieść skargę konstytucyjną w zakresie, w jakim ich prawa podstawowe są uznawane na mocy konstytucji koreańskiej (zob. wyjaśnienia w pkt 1.1) (316). Trybunał Konstytucyjny może uchylić akt organu administracji rządowej, który spowodował naruszenie, lub potwierdzić, że określone zaniechanie jest niezgodne z konstytucją (317). W takim przypadku właściwy organ jest zobowiązany do wdrożenia środków w celu zastosowania się do orzeczenia Trybunału.

(183)

Ponadto osoby fizyczne mogą uzyskać odszkodowanie przed sądami koreańskimi. Obejmuje to przede wszystkim możliwość dochodzenia odszkodowania za naruszenia PIPA popełnione przez organy ścigania, zgodnie z art. 39 (zob. również motyw (135)). Ogólnie rzecz biorąc, osoby fizyczne mogą ubiegać się o odszkodowanie za szkody wyrządzone przez urzędników publicznych podczas wykonywania obowiązków służbowych z naruszeniem prawa, na podstawie ustawy o odszkodowaniach od państwa (zob. również motyw (135)) (318).

(184)

Mechanizmy opisane w motywach (176)–(183) zapewniają osobom, których dane dotyczą, skuteczne środki administracyjne i środki ochrony prawnej przed sądem umożliwiające im w szczególności egzekwowanie ich praw, w tym prawa do dostępu do swoich danych osobowych lub do uzyskania korekty lub usunięcia takich danych.

(185)

W prawie Republiki Korei ustanowiono szereg ograniczeń i zabezpieczeń w zakresie dostępu do danych osobowych i korzystania z nich do celów bezpieczeństwa narodowego, a także mechanizmy nadzoru i dochodzenia roszczeń, które są zgodne z wymogami określonymi w motywach (141)–(143) niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach.

(186)

W Republice Korei dostęp do danych osobowych do celów bezpieczeństwa narodowego jest możliwy na podstawie CPPA, TBA i ustawy o zwalczaniu terroryzmu do celów ochrony obywateli i bezpieczeństwa publicznego (ustawa o zwalczaniu terroryzmu) (319). Głównym organem (320), do którego należą kompetencje w dziedzinie bezpieczeństwa narodowego, jest Narodowa Służba Wywiadu (ang. National Intelligence Service, NIS) (321). Zbieranie i wykorzystywanie danych osobowych przez NIS musi odbywać się w sposób zgodny z odpowiednimi wymogami prawnymi (w tym PIPA i CPPA) (322) oraz ogólnymi wytycznymi sporządzonymi przez prezydenta i poddanymi przeglądowi przez Zgromadzenie Narodowe (323). Co do zasady NIS musi zachować neutralność polityczną oraz chronić wolność i prawa osób fizycznych (324). Ponadto personel NIS nie może nadużywać swojej władzy publicznej w celu zmuszenia jakiejkolwiek instytucji, organizacji lub osoby fizycznej do czynności, których ta nie ma obowiązku wykonać (na podstawie ustawy), ani nie może utrudniać jakiejkolwiek osobie wykonywania przysługujących jej praw (325).

(187)

Na podstawie CPPA organy publiczne Korei (326) mogą zbierać dane potwierdzające komunikację (tj. datę połączenia telekomunikacyjnego, czas jego rozpoczęcia i zakończenia, liczbę połączeń wychodzących i przychodzących, jak również numer abonenta drugiego rozmówcy, częstotliwość połączeń, pliki dziennika dotyczące korzystania z usług telekomunikacyjnych oraz informacje dotyczące lokalizacji, zob. motyw (155)) oraz treść komunikacji (za pomocą środków ograniczających komunikację, zob. motyw (155)) lub do celów bezpieczeństwa narodowego (zgodnie z mandatem NIS, zob. przypis 322). Uprawnienia te obejmują dwa rodzaje informacji: 1) komunikacji, w której jedna strona lub obie strony są obywatelami Korei (327); oraz 2) komunikacji a) państw wrogich Republice Korei, b) zagranicznych agencji, grup lub obywateli podejrzanych o prowadzenie działalności antykoreańskiej (328) lub c) członków grup działających na Półwyspie Koreańskim, ale w praktyce pozostających poza jurysdykcją Republiki Korei, oraz ich grup parasolowych mających siedzibę w innych państwach (329) W związku z tym dane dotyczące komunikacji osób fizycznych z UE przekazywanej z Unii do Republiki Korei na podstawie niniejszej decyzji można zbierać na podstawie CPPA do celów bezpieczeństwa narodowego (z zastrzeżeniem warunków określonych w motywach (188)–(192)), jeżeli uczestniczy w niej osoba fizyczna z UE i obywatel Korei albo jeżeli odbywa się ona wyłącznie między osobami niebędącymi obywatelami Korei i należy do jednej z trzech wspomnianych kategorii – pkt 2 lit. a), b) i c).

(188)

W przypadku obu scenariuszy zbieranie danych potwierdzających komunikację może odbywać się wyłącznie w celu przeciwdziałania zagrożeniom dla bezpieczeństwa narodowego (330), natomiast środki ograniczające komunikację można wprowadzić wyłącznie w przypadku poważnego zagrożenia dla bezpieczeństwa narodowego, gdy zbieranie danych jest konieczne, aby zapobiec temu zagrożeniu (331). Ponadto dostęp do treści komunikacji można uzyskać wyłącznie jako środek ostateczny i należy podjąć starania, aby zminimalizować naruszenie prywatności komunikacji (332), zapewniając tym samym jego proporcjonalność do celu związanego z bezpieczeństwem narodowym. Zbieranie zarówno treści komunikacji, jak i danych potwierdzających komunikację może trwać maksymalnie cztery miesiące, przy czym należy go natychmiast zaprzestać, jeżeli zamierzony cel zostanie osiągnięty wcześniej (333). Jeżeli odnośne warunki będą nadal spełnione, okres ten można przedłużyć, za uprzednim zezwoleniem sądu (w odniesieniu do środków opisanych w motywie (189)) lub prezydenta (w odniesieniu do środków opisanych w motywie (190)) (334), o maksymalnie cztery miesiące.

(189)

Te same zabezpieczenia proceduralne dotyczą zbierania danych potwierdzających komunikację oraz treści komunikacji (335). W szczególności jeżeli przynajmniej jedna z osób uczestniczących w komunikacji jest obywatelem Korei, agencja wywiadowcza musi złożyć pisemny wniosek do prokuratury apelacyjnej, która z kolei musi wystąpić z wnioskiem o wydanie nakazu do Prezesa Sądu Apelacyjnego (336). W CPPA wymieniono informacje, które należy zawrzeć we wniosku do prokuratury, we wniosku o wydanie nakazu oraz w samym nakazie, które obejmują w szczególności uzasadnienie wniosku i główne podstawy podejrzeń, materiały potwierdzające, jak również informacje dotyczące celu, przedmiotu (tj. osoby lub osób fizycznych, których dotyczy środek), zakresu i okresu obowiązywania proponowanego środka (337). Zbieranie danych bez nakazu może odbywać się wyłącznie w przypadku zmowy zagrażającej bezpieczeństwu narodowemu oraz w sytuacji nadzwyczajnej, która uniemożliwia zastosowanie wspomnianych procedur (338). Również w takim przypadku wniosek o wydanie nakazu należy złożyć niezwłocznie po zastosowaniu środka (339). W związku z tym w CPPA wyraźnie określono zakres i warunki wspomnianego rodzaju zbierania danych oraz objęto je szczególnymi zabezpieczeniami (proceduralnymi) (w tym uprzedniemu zatwierdzeniu przez sąd), co zapewnia ograniczenie stosowania takich środków do tego, co jest konieczne i proporcjonalne. Ponadto wymóg podania szczegółowych informacji zarówno we wniosku o wydanie nakazu, jak i w samym nakazie wyklucza nieograniczony dostęp.

(190)

W przypadku komunikacji z osobami niebędącymi obywatelami Korei, które należą do jednej z trzech szczególnych kategorii wymienionych w motywie (187), należy złożyć wniosek do dyrektora NIS, który – po zbadaniu odpowiedniości proponowanych środków – musi wcześniej uzyskać pisemną zgodę prezydenta Republiki Korei (340). Wniosek sporządzony przez agencję wywiadowczą powinien zawierać takie same szczegółowe informacje jak informacje zawarte we wniosku o wydanie nakazu sądowego (zob. motyw (189)), w szczególności dotyczące uzasadnienia wniosku i głównych podstaw podejrzeń, materiałów potwierdzające oraz informacji na temat celów, osoby lub osób fizycznych, których dotyczą środki, zakresu i okresu obowiązywania proponowanych środków (341). W sytuacjach nadzwyczajnych (342) należy uzyskać uprzednią zgodę ministra, któremu podlega dana agencja wywiadowcza, przy czym agencja ta musi wystąpić o zgodę prezydenta niezwłocznie po zastosowaniu środków nadzwyczajnych (343). Również w odniesieniu do zbierania informacji dotyczących komunikacji między osobami niebędącymi obywatelami Korei w CPPA ograniczono stosowanie takich środków do tego, co konieczne i proporcjonalne, poprzez wyraźne określenie kategorii osób fizycznych, które mogą podlegać takim środkom, oraz poprzez ustanowienie szczegółowych kryteriów, których spełnienie agencje wywiadowcze muszą wykazać, aby uzasadnić wniosek o zbieranie informacji. Ponadto ponownie wyklucza to możliwość nieograniczonego dostępu. W przypadku braku uprzedniego niezależnego zatwierdzenia takich środków niezależny nadzór jest zapewniony ex post w szczególności przez PIPC i NHRC (zob. np. motywy (199)–(200)).

(191)

Ponadto w CPPA ustanowiono szereg dodatkowych zabezpieczeń, które przyczyniają się do nadzoru ex post i ułatwiają osobom fizycznym dostęp do skutecznych środków prawnych. Po pierwsze, w odniesieniu do każdego rodzaju zbierania danych do celów bezpieczeństwa narodowego w CPPA przewidziano różne wymogi dotyczące prowadzenia rejestrów i sprawozdawczości. W szczególności wzywając operatorów prywatnych do współpracy, agencje wywiadowcze muszą przedstawić nakaz sądowy/zezwolenie prezydenta lub odpis oświadczenia o cenzurze w sytuacji nadzwyczajnej, którą podmiot wezwany do współpracy musi przechowywać w swoich rejestrach (344). W przypadku gdy podmioty prywatne są wzywane do współpracy, zarówno wzywający organ publiczny, jak i odpowiedni operator muszą prowadzić rejestry dotyczące celu i przedmiotu środków, jak również terminu ich wykonania (345). Ponadto agencje wywiadowcze muszą przedkładać dyrektorowi NIS sprawozdania na temat zebranych przez siebie informacji i wyników działań nadzorczych (346).

(192)

Po drugie, osoby fizyczne należy powiadamiać o zbieraniu dotyczących ich danych (danych potwierdzających komunikację lub treści komunikacji) do celów bezpieczeństwa narodowego, jeżeli dotyczy to komunikacji, w której przynajmniej jedna ze stron jest obywatelem Korei (347). Powiadomienie to należy przekazać na piśmie w terminie 30 dni od daty zakończenia zbierania danych (uwzględniając sytuację, w której dane zostały uzyskane zgodnie z procedurą nadzwyczajną) i można je odroczyć na tak długo, jak długo stanowiłoby to zagrożenie dla bezpieczeństwa narodowego lub zagrażałoby życiu i bezpieczeństwu fizycznemu ludzi (348). Niezależnie od takiego powiadomienia osoby fizyczne mogą dochodzić roszczeń na różne sposoby, co wyjaśniono bardziej szczegółowo w pkt 3.3.4.

(193)

W ustawie o zwalczaniu terroryzmu przewidziano, że NIS może zbierać dane dotyczące osób podejrzanych o terroryzm (349) zgodnie z ograniczeniami i zabezpieczeniami określonymi w innych ustawach (350). W szczególności NIS może uzyskać dane dotyczące komunikacji (na podstawie CPPA) i pozostałe dane osobowe (w ramach wniosku o dobrowolne ujawnienie) (351). W odniesieniu do zbierania informacji ze środków komunikacji (tj. treści komunikacji lub danych potwierdzających komunikację) zastosowanie mają ograniczenia i zabezpieczenia opisane w pkt 3.3.1.1, w tym wymóg uzyskania nakazu zatwierdzonego przez sąd. Jeżeli chodzi o wnioski o dobrowolne ujawnienie innych rodzajów danych osobowych osób podejrzanych o terroryzm, NIS musi spełniać wymogi dotyczące konieczności i proporcjonalności określone w konstytucji i PIPA (zob. motyw (164)) (352). Administratorzy otrzymujący takie wnioski mogą dobrowolnie zastosować się do nich na warunkach określonych w PIPA (np. zgodnie z zasadą minimalizacji danych i poprzez ograniczenie wpływu na prywatność osoby fizycznej) (353). W tym przypadku muszą oni również spełnić wymóg powiadamiania danej osoby fizycznej wynikający z zawiadomienia nr 2021-5 (zob. motyw (166)).

(194)

Na podstawie TBA dostawcy usług telekomunikacyjnych mogą dobrowolnie ujawniać dane abonentów (zob. motyw (163)) na wniosek agencji wywiadowczej, która zamierza zbierać takie informacje, aby zapobiec zagrożeniu dla bezpieczeństwa narodowego (354). W odniesieniu do takich wniosków ze strony NIS obowiązują takie same ograniczenia (wynikające z konstytucji, PIPA i TBA) jak w dziedzinie ścigania przestępstw, jak określono w motywie (164) (355). Dostawcy usług telekomunikacyjnych nie są zobowiązani do przestrzegania tego i mogą to czynić wyłącznie na warunkach określonych w PIPA (w szczególności zgodnie z zasadą minimalizacji danych oraz ograniczając wpływ na prywatność osoby fizycznej, zob. także motyw (193)). W odniesieniu do prowadzenia rejestru i powiadamiania danej osoby fizycznej zastosowanie mają takie same wymogi jak w dziedzinie ścigania przestępstw (zob. motywy (165) i (166)).

(195)

Przetwarzanie danych osobowych zbieranych przez organy koreańskie do celów bezpieczeństwa narodowego podlega zasadom ograniczenia celu (art. 3 ust. 1–2 PIPA), zgodności z prawem i rzetelności przetwarzania (art. 3 ust. 1 PIPA), proporcjonalności/minimalizacji danych (art. 3 ust. 1 i 6 i art. 58 PIPA), prawidłowości (art. 3 ust. 3 PIPA), przejrzystości (art. 3 ust. 5 PIPA), bezpieczeństwa (art. 58 ust. 4 PIPA) i ograniczenia przechowywania (art. 58 ust. 4 PIPA) (356). Ewentualne ujawnienie danych stronom trzecim (w tym państwom trzecim) może się odbywać wyłącznie zgodnie z tymi zasadami (w szczególności z zasadami ograniczenia celu i minimalizacji danych), po dokonaniu oceny zgodności z zasadami konieczności i proporcjonalności (art. 37 ust. 2 koreańskiej konstytucji) i z uwzględnieniem wpływu na prawa osób fizycznych, których dane dotyczą (art. 3 ust. 6 PIPA).

(196)

W odniesieniu do treści komunikacji i danych potwierdzających komunikację w CPPA określono dalsze ograniczenia dotyczące wykorzystania takich danych do postępowań sądowych, w przypadku gdy strona uczestnicząca w komunikacji powołuje się na nie w roszczeniu o odszkodowanie; lub ograniczenia dotyczące dozwolonych sposobów wykorzystania na podstawie innych ustaw (357).

(197)

Działania koreańskich organów bezpieczeństwa narodowego są nadzorowane przez różne organy (358).

(198)

Po pierwsze, w ustawie o zwalczaniu terroryzmu przewidziano szczególne mechanizmy nadzoru nad działaniami antyterrorystycznymi, w tym nad zbieraniem danych dotyczących osób podejrzanych o terroryzm. W szczególności, na szczeblu władzy wykonawczej, działania antyterrorystyczne nadzoruje Komisja ds. Zwalczania Terroryzmu (359), której dyrektor NIS jest zobowiązany przedkładać sprawozdania z dochodzeń i śledzenia osób podejrzanych o terroryzm w celu zbierania informacji lub materiałów niezbędnych w ramach działań antyterrorystycznych (360). Ponadto urzędnik ds. ochrony praw człowieka nadzoruje w szczególności zgodność działań antyterrorystycznych z prawami podstawowymi (361). Urzędnika ds. ochrony praw człowieka powołuje przewodniczący Komisji ds. Zwalczania Terroryzmu spośród osób fizycznych dysponujących określonymi kwalifikacjami wymienionymi w dekrecie wykonawczym do ustawy o zwalczaniu terroryzmu (362) na dwuletnią (odnawialną) kadencję i może zostać odwołany ze stanowiska tylko z określonych przyczyn i ważnego powodu (363). Wykonując swoją funkcję nadzorczą, urzędnik ds. ochrony praw człowieka może wydawać ogólne zalecenia dotyczące poprawy ochrony praw człowieka (364) oraz szczegółowe zalecenia dotyczące działań naprawczych w przypadku stwierdzenia naruszenia praw człowieka (365). Organy publiczne mają obowiązek informowania urzędnika ds. ochrony praw człowieka o działaniach następczych podjętych w związku z jego zaleceniami (366).

(199)

Po drugie, PIPC nadzoruje przestrzeganie przepisów o ochronie danych przez krajowe organy bezpieczeństwa, co obejmuje zarówno mające zastosowanie przepisy PIPA (zob. motyw (149)), jak i ograniczenia i zabezpieczenia mające zastosowanie do zbierania danych osobowych na podstawie pozostałych ustaw (CPPA, ustawy o zwalczaniu terroryzmu oraz TBA, zob. również motyw (171)) (367). Wykonując tę funkcję nadzorczą, PIPC może korzystać ze wszystkich swoich uprawnień dochodzeniowych i zaradczych, opisanych szczegółowo w pkt 2.4.2.

(200)

Po trzecie, działalność krajowych organów bezpieczeństwa podlega niezależnemu nadzorowi NHRC, zgodnie z procedurami opisanymi w motywie (172) (368).

(201)

Po czwarte, funkcja nadzorcza BAI rozszerza się również na krajowe organy bezpieczeństwa, chociaż NIS może, w wyjątkowych okolicznościach, odmówić dostarczenia określonych informacji lub materiałów, tj. gdy stanowią one tajemnicę państwową, a ich upublicznienie miałoby poważny wpływ na bezpieczeństwo narodowe (369).

(202)

Ponadto nadzór parlamentarny nad działaniami NIS sprawuje Zgromadzenie Narodowe (za pośrednictwem wyspecjalizowanej Komisji ds. Wywiadu) (370). W CPPA ustanowiono szczególną funkcję nadzorczą dla Zgromadzenia Narodowego w kwestii stosowania środków ograniczających komunikację do celów bezpieczeństwa narodowego (371). W szczególności Zgromadzenie Narodowe może przeprowadzać kontrole na miejscu sprzętu podsłuchowego i może nałożyć na NIS i operatorów telekomunikacyjnych, którzy ujawnili treść komunikacji, wymóg składania sprawozdań na ten temat. Zgromadzenie Narodowe może również sprawować swoje ogólne funkcje nadzorcze (zgodnie z procedurami opisanymi w motywie (174)). W ustawie o NIS nałożono na dyrektora tego organu obowiązek bezzwłocznego udzielenia odpowiedzi na wniosek Komisji ds. Wywiadu o sporządzenie sprawozdania w określonej sprawie (372), z zachowaniem przepisów szczegółowych dotyczących niektórych informacji szczególnie chronionych. W szczególności dyrektor NIS może odmówić udzielenia odpowiedzi lub złożenia zeznań przed komisją wyłącznie w wyjątkowych okolicznościach, tj. jeżeli wniosek dotyczy tajemnicy państwowej dotyczącej kwestii wojskowych, dyplomatycznych lub związanych z Koreą Północną, w przypadku których publiczne ujawnienie mogłoby mieć poważny wpływ na „losy państwa” (373). W takim przypadku Komisja ds. Wywiadu może zażądać wyjaśnień od premiera, a jeżeli ten nie udzieli ich w ciągu siedmiu dni, nie można odmówić udzielenia odpowiedzi lub złożenia zeznań.

(203)

Również w dziedzinie bezpieczeństwa narodowego w ramach systemu koreańskiego możliwe są różne (sądowe) drogi dochodzenia roszczeń, w tym uzyskania odszkodowania. Mechanizmy te zapewniają osobom, których dane dotyczą, skuteczne dochodzenie roszczeń na drodze administracyjnej i sądowej, dzięki czemu mogą one dochodzić swoich praw, w tym prawa do uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania lub usunięcia takich danych.

(204)

Po pierwsze, zgodnie z art. 3 ust. 5 i art. 4 ust. 1, 3 i 4 PIPA, osoby fizyczne mogą wykonywać swoje prawa w zakresie dostępu, korekty, usunięcia i zawieszenia wobec krajowych organów bezpieczeństwa. W sekcji 6 zawiadomienia nr 2021-5 (załącznik I do niniejszej decyzji) wyjaśniono szczegółowo, w jaki sposób prawa te mają zastosowanie w kontekście przetwarzania danych do celów bezpieczeństwa narodowego. W szczególności krajowy organ bezpieczeństwa może ograniczyć lub odmówić wykonania prawa tak długo, oraz w takim zakresie, w jakim jest to konieczne i proporcjonalne do ochrony ważnego celu leżącego w interesie publicznym (na przykład tak długo oraz w takim zakresie, w jakim przyznanie prawa zagroziłoby trwającemu postępowaniu przygotowawczemu lub bezpieczeństwu narodowemu), lub gdy przyznanie prawa może spowodować szkodę dla życia lub integralności cielesnej strony trzeciej. Powołanie się na takie ograniczenie wymaga wyważenia praw i interesów osoby fizycznej względem istotnego interesu publicznego i w żadnym wypadku nie może naruszać istoty tego prawa (art. 37 ust. 2 konstytucji). W przypadku odrzucenia lub ograniczenia wniosku należy bezzwłocznie powiadomić daną osobę fizyczną o przyczynach takiego odrzucenia.

(205)

Po drugie, osoby fizyczne mają prawo do dochodzenia roszczeń na podstawie PIPA, jeżeli ich dane zostały przetworzone przez krajowy organ bezpieczeństwa z naruszeniem tej ustawy lub z naruszeniem ograniczeń i zabezpieczeń zawartych w innych ustawach regulujących zbieranie danych osobowych (w szczególności w CPPA, zob. motyw (171)) (374). Z prawa tego można skorzystać, wnosząc skargę do PIPC (w tym za pośrednictwem centrum telefonicznego ds. prywatności prowadzonego przez Koreańską Agencję ds. Internetu i Bezpieczeństwa) (375). Ponadto, w celu ułatwienia dostępu do środków dochodzenia roszczeń wobec koreańskich krajowych organów bezpieczeństwa, osoby fizyczne z UE mogą wnieść skargę do PIPC za pośrednictwem swojego krajowego organu ochrony danych (376). W takim przypadku PIPC powiadomi osobę fizyczną za pośrednictwem jej krajowego organu ochrony danych o zakończeniu dochodzenia (w tym, w stosownych przypadkach, o zastosowanych działaniach naprawczych). Ponadto na podstawie ustawy o postępowaniu administracyjnym osoby fizyczne mogą odwołać się od decyzji PIPC lub wnieść skargę na bezczynność tego organu (zob. motyw (132)).

(206)

Po trzecie, osoby fizyczne mogą wnieść skargę do urzędnika ds. ochrony praw człowieka w sprawie naruszenia ich prawa do prywatności/ochrony danych w kontekście działań antyterrorystycznych (tj. zgodnie z ustawą o zwalczaniu terroryzmu) (377), który może zalecić działania naprawcze. Ponieważ w postępowaniu przed urzędnikiem ds. ochrony praw człowieka nie obowiązują wymogi dopuszczalności, skarga zostanie rozpatrzona nawet wtedy, gdy dana osoba fizyczna nie jest w stanie wykazać, że faktycznie poniosła szkodę (na przykład z powodu domniemanego bezprawnego zbierania jej danych przez krajowy organ bezpieczeństwa) (378). Właściwy organ musi poinformować urzędnika ds. ochrony praw człowieka o wszelkich środkach zastosowanych w celu wdrożenia jego zaleceń.

(207)

Po czwarte, osoby fizyczne mogą wnieść skargę do NHRC dotyczącą zbierania ich danych przez krajowe organy bezpieczeństwa i dochodzić roszczeń zgodnie z procedurą opisaną w motywie (178) (379).

(208)

Dodatkowo dostępne są różne środki ochrony prawnej przed sądem (380), umożliwiające osobom fizycznym powołanie się na ograniczenia i zabezpieczenia opisane w pkt 3.3.1 w celu dochodzenia roszczeń. W szczególności osoby fizyczne mogą kwestionować legalność działań organów bezpieczeństwa narodowego na podstawie ustawy o postępowaniu administracyjnym (zgodnie z procedurą opisaną w motywie (181)) lub ustawy o Trybunale Konstytucyjnym (zob. motyw (182)). Co więcej, mogą oni uzyskać odszkodowanie na podstawie ustawy o odszkodowaniach od państwa (opisanej bardziej szczegółowo w motywie (183)).

(209)

Komisja uważa, że Republika Korei – za pośrednictwem PIPA, przepisów szczególnych mających zastosowanie do niektórych sektorów (zgodnie z analizą przedstawioną w sekcji 2) oraz dodatkowych zabezpieczeń przewidzianych w zawiadomieniu nr 2021-5 (załącznik I) – zapewnia stopień ochrony danych osobowych przekazywanych z Unii Europejskiej zasadniczo odpowiadający stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(210)

Ponadto Komisja stwierdza, że mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie Korei – rozumiane jako całość – zapewniają możliwość identyfikowania przypadków naruszenia przepisów o ochronie danych przez administratorów i w praktyce nakładania za te naruszania kar oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych, a także – ostatecznie – sprostowania lub usunięcia takich danych.

(211)

Wreszcie, na podstawie dostępnych informacji na temat koreańskiego porządku prawnego, w tym oświadczeń, zapewnień i zobowiązań rządu Korei zawartych w załączniku II, Komisja uważa, że wszelkie naruszenia praw podstawowych osób fizycznych, których dane osobowe są przekazywane z Unii Europejskiej do Republiki Korei, jakich dopuszczają się koreańskie organy publiczne do celów interesu publicznego, w szczególności do celów ścigania przestępstw i bezpieczeństwa narodowego, będą ograniczać się do tego, co jest absolutnie niezbędne do osiągnięcia tego uzasadnionego celu oraz że ustanowiono skuteczną ochronę prawną przed takimi naruszeniami.

(212)

W świetle ustaleń niniejszej decyzji należy zatem uznać, że Republika Korei zapewnia odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej, danych osobowych przekazywanych z Unii Europejskiej do Republiki Korei administratorom danych osobowych w Republice Korei podlegającym PIPA, z wyjątkiem organizacji religijnych w zakresie, w jakim przetwarzają one dane osobowe na potrzeby swojej działalności misyjnej; partii politycznych, w zakresie, w jakim przetwarzają one dane osobowe w kontekście zgłaszania kandydatów, oraz administratorów podlegających nadzorowi Komisji Usług Finansowych w zakresie przetwarzania informacji dotyczących kredytów osobistych zgodnie z ustawą o informacjach kredytowych, w zakresie, w jakim przetwarzają takie informacje.

(213)

Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.

(214)

Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności przekazywanie danych przez administratora lub podmiot przetwarzający w Unii Europejskiej administratorom w Republice Korei może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.

(215)

Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie Schrems I (381), jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości (382).

(216)

Zgodnie z orzecznictwem Trybunału Sprawiedliwości (383), a także jak wskazano w art. 45 ust. 4 rozporządzenia (UE) 2016/679, Komisja powinna na stale monitorować istotne zmiany zachodzące w państwie trzecim po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony, aby ocenić, czy państwo trzecie nadal zapewnia stopień ochrony zasadniczo odpowiadający temu w Unii Europejskiej. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja otrzyma informacje budzące uzasadnione wątpliwości w tym względzie.

(217)

W związku z powyższym Komisja powinna na bieżąco monitorować sytuację w zakresie ram prawnych i rzeczywistej praktyki w Republice Korei w odniesieniu do przetwarzania danych osobowych, podlegających ocenie w niniejszej decyzji, w tym wywiązywanie się przez władze koreańskie z oświadczeń, zapewnień i zobowiązań zawartych w załączniku II. W celu ułatwienia tego procesu zachęca się władze koreańskie do niezwłocznego informowania Komisji o zmianach w prawie materialnym, które są istotne dla niniejszej decyzji w związku z przetwarzaniem danych osobowych przez podmioty gospodarcze i organy publiczne, jak również z ograniczeniami i zabezpieczeniami dotyczącymi dostępu organów publicznych do danych osobowych.

(218)

Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z UE, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii Europejskiej administratorom danych osobowych w Republice Korei. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania koreańskich organów publicznych odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie przestępstw nie gwarantują wymaganego stopnia ochrony.

(219)

W zastosowaniu art. 45 ust. 3 rozporządzenia (UE) 2016/679 (384) oraz w świetle tego, że stopień ochrony zapewniany w porządku prawnym Korei może ulec zmianie, Komisja po przyjęciu niniejszej decyzji powinna okresowo sprawdzać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez Republikę Korei są nadal faktycznie i prawnie uzasadnione.

(220)

W tym celu niniejsza decyzja powinna zostać poddana pierwszemu przeglądowi w ciągu trzech lat od jej wejścia w życie. Po przeprowadzeniu tego pierwszego przeglądu oraz w zależności od jego wyników Komisja, w ścisłym porozumieniu z komitetem powołanym na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679, podejmie decyzję co do tego, czy trzyletni cykl powinien zostać utrzymany. W każdym przypadku kolejne przeglądy powinny mieć miejsce co najmniej raz na cztery lata (385). Przegląd powinien uwzględniać wszystkie aspekty funkcjonowania niniejszej decyzji, w szczególności stosowanie dodatkowych zabezpieczeń zawartych w załączniku I do niniejszej decyzji, przy czym szczególną uwagę należy poświęcić środkom ochronnym w związku z dalszym przekazywaniem danych; nowym rozstrzygnięciom w orzecznictwie w tej dziedzinie; przepisom dotyczącym przetwarzania informacji spseudonimizowanych do celów statystycznych, do celów badań naukowych i do celów archiwalnych w interesie publicznym, jak również stosowaniu wyjątków na podstawie art. 28 ust. 7 PIPA; skuteczności korzystania z praw indywidualnych, w tym przed zreformowaną w ostatnim czasie PIPC, oraz stosowaniu wyjątków do tych praw; stosowaniu częściowych wyłączeń na podstawie PIPA; jak również ograniczeniom i zabezpieczeniom w odniesieniu do dostępu rządowego (jak wskazano w załączniku II do niniejszej decyzji), w tym współpracy PIPC z unijnymi organami ochrony danych w sprawie skarg osób fizycznych. Przegląd powinien również uwzględniać skuteczność nadzoru i egzekwowania w odniesieniu do PIPA, jak i w obszarze ścigania przestępstw i bezpieczeństwa narodowego (w szczególności przez PIPC i NHRC).

(221)

W celu przeprowadzenia przeglądu Komisja powinna odbyć spotkanie z PIPC, której będą towarzyszyć, w stosownych przypadkach, inne koreańskie organy odpowiedzialne za dostęp rządowy do informacji, w tym właściwe organy nadzorcze. Uczestnictwo w tym spotkaniu powinno być otwarte dla przedstawicieli członków Europejskiej Rady Ochrony Danych. W ramach przeglądu Komisja powinna wystąpić do PIPC o przedłożenie wyczerpujących informacji na temat wszystkich kwestii istotnych dla ustaleń dotyczących stwierdzenia odpowiedniego stopnia ochrony, w tym na temat ograniczeń i zabezpieczeń związanych z dostępem rządowym (386). Komisja powinna również zwracać się o wyjaśnienia dotyczące wszelkich otrzymanych informacji istotnych dla niniejszej decyzji, w tym o wyjaśnienia dotyczące publicznych sprawozdań przygotowanych przez koreańskie władze lub inne zainteresowane strony z Korei, informacji otrzymanych od Europejskiej Rady Ochrony Danych, poszczególnych organów ochrony danych, organizacji społeczeństwa obywatelskiego, a także doniesień medialnych i informacji pochodzących z innych dostępnych źródeł.

(222)

Na podstawie przeglądu Komisja powinna przygotować ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.

(223)

W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania niniejszej decyzji lub przedstawionych przez władze Korei lub państw członkowskich, wynika, że stopień ochrony zapewniany przez Republikę Korei może nie być już odpowiedni, Komisja powinna niezwłocznie powiadomić o tym właściwe organy Korei i zwrócić się o zastosowanie właściwych środków w określonym, rozsądnym terminie.

(224)

Jeśli po upływie tego określonego terminu właściwe organy Korei nie zastosują tych środków lub w inny zadowalający sposób nie wykażą, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.

(225)

Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza uzależniając przekazywanie danych od spełnienia dodatkowych warunków lub ograniczając zakres stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniono ciągłość odpowiedniego stopnia ochrony.

(226)

Komisja powinna w szczególności wszcząć procedurę zawieszenia lub uchylenia w przypadku wystąpienia przesłanek wskazujących, że dodatkowe zabezpieczenia zawarte w załączniku I nie są przestrzegane przez podmioty gospodarcze otrzymujące dane osobowe na podstawie niniejszej decyzji lub nie są skutecznie egzekwowane, albo jeżeli władze koreańskie nie wywiązują się z oświadczeń, zapewnień i zobowiązań zawartych w załączniku II do niniejszej decyzji.

(227)

Komisja powinna również rozważyć wszczęcie procedury prowadzącej do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli, w kontekście przeglądu lub w inny sposób, właściwe koreańskie władze nie przedłożą informacji lub wyjaśnień wymaganych w związku z oceną stopnia ochrony zapewnianego w odniesieniu do danych osobowych przekazywanych z Unii Europejskiej do Republiki Korei albo w odniesieniu do oceny zgodności z niniejszą decyzją. W tej kwestii Komisja powinna uwzględnić również zakres, w jakim właściwe informacje można uzyskać z innych źródeł.

(228)

W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja skorzysta z możliwości przyjęcia zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679, mających natychmiastowe zastosowanie aktów wykonawczych zawieszających, uchylających lub zmieniających decyzję.

(229)

Europejska Rada Ochrony Danych opublikowała swoją opinię (387), która została uwzględniona podczas przygotowywania niniejszej decyzji.

(230)

Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679,